2017.W10 - Rootkit - 資安

2017.W10 Rootkit
> 朕不給的 你看不到

## 前言 ##
終於換講底層的東西了 ...


## 內容 ##
Rootkit[0] 一種用來影藏行蹤的軟體 或者廣義來說是一種技術

在各作業系統中 都存在各種程度的 Rootkit 用來影藏資訊

根據不同的技術細節來說 可以將 Rootkit 分為若干程度：


- User-Space[1]
- Kernel-Space
- Firmware and/or Hardware


在 User Space 的程度來看，Rootkit 的技術是直接串改監控程式的結果

透過利用函式庫注入[2] 等方式 將監控程式的結果過濾而達到影藏行蹤的目的

但如同他的攻擊方式需攻擊特定的程式

在使用不同的系統函數[3]的監控程式下 則依然無法達到完全匿蹤的目的



而在 Kernel Space 的角度來看 Rootkit 攻擊的則是作業系統最底層的系統函數

這個程度的函式庫是可呼叫的最底層函數

藉由攥改這一層的結果 過濾特定的資訊來達到匿蹤的目的



而最後的 Firmware/Hardware 層級 則是最底層的 Rootkit

從根本上就不讓作業系統發現特定的硬體

像是可以虛擬出來一個偽造的硬碟

而 Firmware 只允許特定狀態下才允許存取這個硬碟空間

在這種 Rootkit 下 無法透過任何系統函數讀到這個硬碟來達到將資料匿蹤的目的




以下是幾種在個作業系統的 Rootkit

- Linux/LD_PRELOAD rootkit[4]
- MicroSoft/Alureon[5]
- Mac/rubilyn[6]

[0]: https://zh.wikipedia.org/wiki/Rootkit
[1]: https://zh.wikipedia.org/wiki/%E4%BD%BF%E7%94%A8%E8%80%85%E7%A9%BA%E9%96%93
[2]: https://en.wikipedia.org/wiki/DLL_injection
[3]: https://en.wikipedia.org/wiki/System_call
[4]: http://fluxius.handgrep.se/2011/10/31/the-magic-of-ld_preload-for-userland-rootkits/
[5]: https://en.wikipedia.org/wiki/Alureon
[6]: http://seclists.org/fulldisclosure/2012/Oct/55

--