RootKit-Knark的历史
Knark是第二代的新型rootkit工具-其基于LJM(loadable kernel module)技术,使用这种技术可以有效地隐藏系统的信息。作者在代码和README文件中都标注有不承担责任的声明,声明该代码不可以被用作非法活动。然而该软件可以容易地被用于这种目的。
Knark是由creed@sekure.net
Knark的第一个公开版本是0.41,发布于June, 1999。可以在B4B0 #9中索引到它:http://packetstorm.securify.com/mag/b4b0/b4b0-09.txt。随后0.50和0.59被发布,当前版本是0.59。可以从这里下载0.59版。
Knark0.59具有以下特性:
隐藏或显示文件或目录
隐藏TCP或UDP连接
程序执行重定向
非授权地用户权限增加("rootme")
改变一个运行进程的UID/GID的工具
非授权地、特权程序远程执行守护进程
Kill –31来隐藏运行的进程
联合使用程序执行重新定向和文件隐藏,入侵者能提供各种后门程序执行。由于执行重定向是在内核级别进行的,因此文件检测工具不会发现程序文件被修改-原始的执行程序并没有被修改,因此配置检测工具在路径环境中也不会发现任何异常。
如果Knark结合另外一个用来隐藏系统当前加载的模块的LKM工具modhide,就可能实现甚至通过lsmod命令也不能发现knark的存在。
![Htop:Ubuntu下功能全面的进程查看器[多图]](../../upload/2008_11/08112310128629t.jpg)
Htop:Ubuntu下功能全![Linux发行版BackTrack 3破解Windows密码[图文]](../../upload/2008_11/08110906364948t.jpg)
Linux发行版BackTrack![Ubuntu 8.10下安装设置Gufw-ufw图形界面防火墙[多图]](../../upload/2008_11/08110612026490t.jpg)
Ubuntu 8.10下安装设
谷歌针对Android系统![Ubuntu 8.10下Firestarter防火墙的安装设置[多图讲解]](../../upload/2008_11/08110312022661t.jpg)
Ubuntu 8.10下Firesta
远离病毒木马使用正版
遭遇电脑黑屏别惊慌 L![三款面向Linux平台的免费桌面版杀毒软件[图文]](../../upload/2008_10/08101906201599t.jpg)
三款面向Linux平台的