Образовательный Ubuntu Linux руткит

Руткит был протестирован для работы с ядрами Linux 2.6.32-38 и 4.4.0-22, как это предусмотрено Ubuntu в Ubuntu 10.04.4 LTS и Ubuntu 16.04 LTS соответственно, но должно быть очень легко переносить ядра между ними, а также более новые.

В рутките используется некоторый код, специфичный для архитектуры, который реализован только для архитектур x86 и x86-64.

Это код для поиска таблицы системных вызовов, отключение защищенной от записи памяти, один из двух методов подбора функций.

Это  очень легко переносить в новую архитектуру, и некоторые из этого кода не являются строго необходимыми для работы руткита, например. не переносимый метод перехвата может быть удалён, хотя вы должны быть очень скучным человеком, если вы хотите пропустить удовольствие от перехвата функции, которая перезаписывает машинный код целевой функции ядра, так что вместо этого она называет нашу функцию hook.

Руткит был протестирован только с 1 ядром ЦП, поэтому он может работать или не работать правильно в многоядерной системе.

Функциональность

Руткит может выполнять следующие действия:

  • Предоставить привилегии root для процесса пользовательской области
  • Скрыть процесс с помощью PID
  • Показывать ранее скрытый процесс с помощью PID
  • Скрыть файлы или каталоги по их имени
  • Показывать ранее скрытые файлы или каталоги
  • Скрыть себя
  • Защищать от выгрузки пользователем
  • Отключить защиту от выгрузки

Использование

Загрузка

 # insmod rootkit.ko 

Опции руткита


$ ./client --help
Usage: ./client [OPTION]...

Options:
--root-shell Grants you root shell access.
--hide-pid=PID Hides the specified PID.
--unhide-pid=PID Unhides the specified PID.
--hide-file=FILENAME Hides the specified FILENAME globally.
Must be a filename without any path.
--unhide-file=FILENAME Unhides the specified FILENAME.
--hide Hides the rootkit LKM.
--unhide Unhides the rootkit LKM.
--help Print this help message.
--protect Protects the rootkit from rmmod.
--unprotect Disables the rmmod protection.

Закачать руткит

 ./client --unhide
./client --unprotect
rmmod rootkit.ko 

Скачать ubuntu rootlit

См. также «Как проверить систему на наличие руткитов»

¯\_(ツ)_/¯

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40