[[181433]]

Rootkit檢測和蜜罐檢測有相似之處，因為Rootkit通過攪亂內(nèi)核欺騙不同用戶，蜜罐則是通過攪亂內(nèi)核來欺騙敵人，其實蜜罐和Rootkit就是同一種技術(shù)的的兩個方面。

Rootkit檢測困難的地方主要有以下幾點：

Rootkit的隱蔽性使對他們的檢測和刪除變得困難，破壞內(nèi)核最簡單的方法是安裝一個可加載內(nèi)核模塊(也就是LKM)，即使禁用了對LKM的支持，攻擊者依然能通過在運(yùn)行中重寫他的內(nèi)存來破壞內(nèi)核。這可能涉及禁用一些我們可能用以檢測系統(tǒng)中內(nèi)存變化的功能。如果沒有進(jìn)一步更詳細(xì)的目標(biāo)，rootkit可能對存儲器、文件系統(tǒng)進(jìn)程列表沒有做任何修改?？梢宰鲆粋€假設(shè)：Rootkit擴(kuò)展內(nèi)和功能以欺騙用戶，結(jié)果一些操作將會導(dǎo)致比正常情況下更長的代碼路徑和更多的執(zhí)行指令，比如說rootkit經(jīng)常在文件系統(tǒng)中隱藏他們的存在，這就意味著如果我們調(diào)用函數(shù)set_getdents獲得一個目錄下的內(nèi)容時候，rootkit可能介入已隱藏他自己的文件，從而增加指令數(shù)目。

為了測量在一次系統(tǒng)調(diào)用中有多少個處理器被執(zhí)行，當(dāng)處理器進(jìn)入系統(tǒng)調(diào)用時候，我們將他設(shè)置為單步模式，單步模式下每執(zhí)行一個指令，處理器就會產(chǎn)生一個調(diào)試異常。這樣的話我們就hook到了中斷描述表中的系統(tǒng)調(diào)用處理程序(int 0x80)和調(diào)試異常處理程序。當(dāng)一個系統(tǒng)調(diào)用被初始化的時候，我們的處理程序被調(diào)用，之后通過在EFLAGS寄存器中置TF位(0x100)啟動單步模式，并對我們的調(diào)試異常處理程序的調(diào)用次數(shù)進(jìn)行計數(shù)。但是以上情況僅針對于Linux，在Windows下面IDT是有保護(hù)的，如果說在一個系統(tǒng)調(diào)用的過程中對異常執(zhí)行次數(shù)進(jìn)行計數(shù)是可操作的，這樣的話也是可以創(chuàng)建一個干凈系統(tǒng)的指令執(zhí)行統(tǒng)計。其實上面這個步驟叫做執(zhí)行路徑分析法(EPA)，但是EPA需要有高特權(quán)訪問訪問內(nèi)核地址空間，而且對系統(tǒng)調(diào)用表修改的方法動作比較大，容易被檢測出來。所以法國蜜網(wǎng)項目組的成員用了第二種方法：使用性能計算器或者是CPU提供的指令去檢測執(zhí)行時間的變化。具體的操作方法是這樣的：

(1)在干凈的系統(tǒng)上對同一個系統(tǒng)調(diào)用若干次(20w次以上)，并記錄該測量為時序T1

(2)在目標(biāo)系統(tǒng)中進(jìn)行相同次數(shù)的測量，并記錄測量為時序T2

(3)這時候去計算每一個時序的傅里葉變化：

(4)計算兩個時序頻率向量之間的數(shù)積：

(5)如果r接近于1，系統(tǒng)是干凈的;如果r接近于0，這有可能系統(tǒng)被植入了rootkit。

【本文是51CTO專欄作者elknot的原創(chuàng)文章，轉(zhuǎn)載請通過51CTO獲取授權(quán)】

戳這里，看該作者更多好文