1. Rootkit in Linux
hack-stuff

2. Rootkit
● Rootkit 簡介
○ 概念與目的
● Level 0
○ 簡單但可能很有效的...
● Level 1
○ 容易實作但也容易被發現...
● Level 2
○ 十分有效...

3. 簡介 (接續)
● Rootkit == 軟體
○ 設計用來隱藏訊息
○ 可以跟其他惡意軟體整合
○ 也能用來保護(keyword: sony 藍光)
● Rootkit == 管理工具
○ 原則上需要最高權限
○ 也可以用來偷最高權限的資料
○ 或許能用來繞過最高權限的檢查

4. 概念
● 隱藏
○ 正在執行的程式
○ 存在的檔案
○ 網路流量

5. 在開始之前...
Process /bin/ls
/proc/[pid]
User-Space
Kernel-Space
??? Structure

6. Level 0
● 重新包裝原本的程式
○ 使用直譯式語言 (bash/perl/python...)
○ 過濾資訊
● 優點
○ 實作簡單
● 缺點
○ 容易抓包
● Demo
○ ...

7. Level 1
● 替換原本的程式
○ 在程式碼中加入自己的邏輯
○ 提供程式原本的功能
● 優點
○ 完美過濾
● 缺點
○ 需要會寫程式(script kiddie out!)
○ 必須拿到原始碼
● Demo
○ ...

8. Level 2
● 替換 kernel
○ 替換或移除掉 kernel 訊息
○ 改變在 kernel 上實作的邏輯
● 優點
○ 幾乎找不到...
○ 修改所有訊息, 甚至可以假造訊息
● 缺點
○ 十分難實作
○ 高度平台相關, 原則上不能跨平台!
● Demo
○ ...

9. Ref
● Source code
○ https://github.com/cmj0121/HST-
Course