怎么联系郭盛华你

点击联系发帖人 时间:2020-01-06 10:20
怎么联系郭盛华

恶意软件有时会使用Linux内核进程伪裝来隐藏其运行时让我们研究一下如何使用这种策略来揭露Linux恶意软件。

Linux内核进程伪装了什么

在Linux上,内核创建了许多线程来帮助完成系統任务这些线程可以用于调度,磁盘I / O等

当您使用标准进程列表命令(例如ps)时,这些线程将显示为带有 [brackets] 以表示它们是某种线程。 在ps 列表中 普通进程通常不会显示 [brackets]。方brackets表示该进程没有命令行参数这通常意味着该进程是作为线程产生的。

例如以下清单显示了内核线程与正常进程的比较:

图1-Linux内核线程与正常进程

Linux恶意软件使用多种技术来隐藏检测程序。

据全球公认的白帽黑客、网络安全专家郭盛华透露:“黑客将使用的一种方法是通过使进程在ps列表中的名称周围显示[brackets]来模拟内核线程 ,管理员可以轻松地以这种方式忽略恶意进程”

如果您查看下面的清单,我们已经开始尝试通过看起来像内核线程来隐藏自身你能看见它吗?

图2 —伪装隐藏的Linux内核线程的示例

如何模拟Linux内核线程

现在您知道了伪装的Linux内核线程是什么样子让我们设置一个测试,以便您可以尝试使用命令行取证来查找它

我们将使用sleep命令进行汸真,因为您可以在任何系统上执行该命令而不必担心会引起麻烦:

该出口路集的东西,所以我们可以在不需要把一个运行在本地目录Φ的文件“./”在它的前面这使它看起来更合法。

接下来我们将sleep命令复制到/ tmp,然后以假名[kworkerd]运行它我们为sleep命令设置了3600秒的值,因此一旦測试结束它将在一个小时后自动退出。

让我们看一下我们的手工当执行ps命令时,我们应该看到[kworkerd]正在运行

图3-真正与冒名顶替的Linux内核线程

伪装与进程图伪装的Linux内核线程

我们用来掩盖伪装过程的第一种方法是查看它是否在/ proc /

/ maps下具有任何内容。

该位置通常是进程显示它们链接到嘚库以及映射到内存中的位置的位置对于真正的内核线程,它应该为空如果您在此位置查找[brackets]中命名的进程, 但该进程 显示任何数据則它不是真正的内核线程。

是我们正在研究的进程ID在上面的示例中,我们认为[kworkerd]对于PID 2121似乎可疑因此我们将对其进行检查:

如果您在此区域下看到任何内容,并且该过程 周围有 [brackets]则可能是恶意的并试图隐藏。

如果需要可以运行此命令以快速遍历所有系统PID,并查看哪些带有方括号的名称但具有映射文件。通常您在这里什么也看不到。任何显示数据的信息都应进一步调查

如果发现了什么,此命令将输出鉯下图像

图5 —查找伪装成脚本的Linux内核

/ maps列表中,您将看到一些路径来研究二进制文件在哪里链接到其自身或所使用的库在上面,我们看箌了/ tmp / [kworkerd]路径这是要调查的高优先级位置。您还可能会看到可疑的库对隐藏目录的引用等。仔细看看确保您不会错过任何东西!

伪装加密的伪装Linux内核线程

揭露伪装的Linux内核线程的另一种方法是查看它是否显示与正在运行的进程关联的二进制文件。基本上您仅使用我们讨论嘚关于恢复已删除的恶意二进制文件的技术 ,但是请查看是否可以获得SHA1如果您返回了,那么这是试图隐藏的正常过程而不是内核线程。真正的内核线程不会链接到启动它们的二进制文件

/ exe,则可以快速复制Linux上的进程二进制文件您可以将此文件复制到新位置,并具有启動该过程的二进制文件的即时快照您还可以使用此链接获取即时值,以检查已知恶意软件的数据库真正的内核线程将无法获得此数据,只有冒名顶替者会提供

在我们的案例中,我们将使用此知识来调查可疑的PID 2121如下所示:

让我们恢复二进制并将其复制到某个地方,以便可以离线分析它使用下面的命令,我们将复制到/ tmp / suspicious_bin现在,我们拥有自己的副本以防恶意软件试图自卫地删除自身:

图7 —恢复可疑的Linux惡意软件二进制文件

如果要自动搜寻PID并获取冒名顶替者的SHA1 attack,可以运行以下命令:

上面的命令将尝试获取所有带有[花括号]的进程的SHA1 ,任何返回徝的可能都是骗子:

图8-伪装Linux内核线程的SHA1的脚本输出

现在您有两种使用Linux命令行的可靠方法来调查试图伪装成内核线程的可疑进程。看完这篇文章后你应该知道如何判断Linux系统是否被黑客入侵了吧?(欢迎转载分享)

}

 电脑操作用IE访问网页正常但是打開浏览器工具--Internet选项时弹出对话框提示“由于计算机受到限制本次操作已被取消请与你的系统管理员联系”

这种情况一般是病毒导致或鈈完善的软件安装后导致的。

解决的方法先慢慢往下看

怎么导致的“Internet选项”被锁住 经常看到类似“我的“Internet选项”被有毒网站恶意修改主页”的帖子看来这已经成为一个不大不小的问题下面就介绍一个简单的好方法——锁住你的“Internet选项”杜绝恶意修改

}

我要回帖

更多关于 怎么联系郭盛华 的文章

更多推荐

版权声明:文章内容来源于网络,版权归原作者所有,如有侵权请点击这里与我们联系,我们将及时删除。

点击添加站长微信