加入收藏 | 设为首页 | 会员中心 | 我要投稿 PHP编程网 - 黄冈站长网 (http://www.0713zz.com/)- 数据应用、建站、人体识别、智能机器人、语音技术!
当前位置: 首页 > 运营中心 > 建站资源 > 策划 > 正文

Rootkit隐藏进程和端口检测

发布时间:2019-04-01 04:12:48 所属栏目:策划 来源:zhouqiao
导读:副标题#e# 一、引言 Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。 例如:inetd或者login,为攻击者提供后门;隐藏攻击者的目录和进

1. tcp隐藏端口检测

  • 从1到65535遍历端口
  • 创建一个基于tcp协议SOCK_STREAM的socket
  • 通过bind返回值和错误码探测端口状态
  • 如果被占用,通过listen 错误码是EADDRINUSE确定端口占用
  • 通过ss或netstat命令过滤tcp协议,查看端口情况
  • 对比差异,确认该端口为隐藏端口
    1. socketsocket_desc=socket(AF_INET,SOCK_STREAM,0); 
    2. bind(socket_desc,(struct sockaddr *)&address,sizeof(address)); 
    3. listen(socket_desc,1); 
    4. if(EADDRINUSE == errno) { 
    5.     checkoneport(i, tcpcommand, TCP); 

2. udp隐藏端口检测

相比tcp, udp使用SOCK_DGRAM的socket, 缺少listen这步,其余检测步骤类似

  1. socketsocket_desc=socket(AF_INET,SOCK_DGRAM,0); 
  2. bind(socket_desc,(struct sockaddr *)&address,sizeof(address)); 
  3. if(EADDRINUSE == errno) { 
  4.     checkoneport(u, udpcommand, UDP); 

四、结论

本文提供的通过应用层方式检测rootkit中最常见的隐藏进程和端口,风险性小,可无缝集成到主机安全agent中。

【编辑推荐】

  1. 2019年2月热门恶意软件调查结果出炉
  2. 防止鱼叉式网络钓鱼攻击的8个窍门
  3. 2019年网络犯罪和恶意软件预测
  4. 如何检测无文件恶意软件攻击?
  5. 勒索软件攻击目标:71%为中小企业
【责任编辑:赵宁宁 TEL:(010)68476606】
点赞 0

(编辑:PHP编程网 - 黄冈站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

热点阅读