Linux - статьи

Обнаружение компрометаций ядра Linux с помощью gdb


Мариус Бурдач, перевод Владимир Куксенок,

Назначение этой статьи - описание полезных способов обнаружения скрытых модификаций ядра Linux. Более известный как руткит (rootkit), этот скрытный тип злонамеренного ПО устанавливается в ядро операционной системы и для своего обнаружения требует от системных администраторов и обработчиков инцидентов использования специальных техник.

В этой статье для обнаружения компрометаций ОС Linux мы будем использовать только одну утилиту - gdb (GNU Debugger). Эта утилита по умолчанию присутствует почти в каждом дистрибутиве Linux. Вторая задача этой статьи - описание популярных методов модификации ядра операционной системы Linux. Поняв принципы атаки, мы сможем легко обнаружить скомпрометированную машину или выбрать подходящие средства для мониторинга наших критических компьютеров.

Фокусирование на обнаружении модификаций ядра обусловлено тем, что это наиболее скрытный из всех методов, используемых злоумышленниками для установки злонамеренного кода в операционную систему.



Содержание раздела