Je suis à la recherche de documentation indiquant comment modifier des
binaires afin d'empecher la détection de troyens sous linux. Je pense en
particulier à ps, ls, netstat...
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Nicob
On Sun, 25 Jan 2004 19:02:29 +0100, Lestat LIONCOURT wrote:
Je suis à la recherche de documentation indiquant comment modifier des binaires afin d'empecher la détection de troyens sous linux. Je pense en particulier à ps, ls, netstat...
Tu cherches donc de la doc sur ce qui s'appellent des "root-kits".
Les plus vieux remplaçaient simplement les binaires d'origine avec des versions modifiées (ie. cachant tel ou tel processus). Puis sont apparus les root-kits avec code-source, permettant d'éviter de devoir balader une version binaire pour chaque OS et architecture matérielle.
Maintenant, on évite de modifier les binaires et on joue directement au niveau du noyau, soit via des modules soit en patchant direct en mémoire.
En espérant que l'anglais ne te rebute pas :
Linux Rootkits for Beginners - From Prevention to Removal www.giac.org/practical/GSEC/Jeromey_Hannel_GSEC.pdf
Locally checks for signs of a rootkit http://www.chkrootkit.org/
Linux Kernel Rootkits http://la-samhna.de/library/rootkits/
PS : A mon avis, tu es charte, mais tu trouveras plus de linuxiens aptes à te répondre sur fr.comp.securite ...
Nicob
On Sun, 25 Jan 2004 19:02:29 +0100, Lestat LIONCOURT wrote:
Je suis à la recherche de documentation indiquant comment modifier des
binaires afin d'empecher la détection de troyens sous linux. Je pense en
particulier à ps, ls, netstat...
Tu cherches donc de la doc sur ce qui s'appellent des "root-kits".
Les plus vieux remplaçaient simplement les binaires d'origine avec des
versions modifiées (ie. cachant tel ou tel processus). Puis sont apparus
les root-kits avec code-source, permettant d'éviter de devoir
balader une version binaire pour chaque OS et architecture matérielle.
Maintenant, on évite de modifier les binaires et on joue directement au
niveau du noyau, soit via des modules soit en patchant direct en mémoire.
En espérant que l'anglais ne te rebute pas :
Linux Rootkits for Beginners - From Prevention to Removal
www.giac.org/practical/GSEC/Jeromey_Hannel_GSEC.pdf
Locally checks for signs of a rootkit
http://www.chkrootkit.org/
Linux Kernel Rootkits
http://la-samhna.de/library/rootkits/
PS : A mon avis, tu es charte, mais tu trouveras plus de linuxiens
aptes à te répondre sur fr.comp.securite ...
On Sun, 25 Jan 2004 19:02:29 +0100, Lestat LIONCOURT wrote:
Je suis à la recherche de documentation indiquant comment modifier des binaires afin d'empecher la détection de troyens sous linux. Je pense en particulier à ps, ls, netstat...
Tu cherches donc de la doc sur ce qui s'appellent des "root-kits".
Les plus vieux remplaçaient simplement les binaires d'origine avec des versions modifiées (ie. cachant tel ou tel processus). Puis sont apparus les root-kits avec code-source, permettant d'éviter de devoir balader une version binaire pour chaque OS et architecture matérielle.
Maintenant, on évite de modifier les binaires et on joue directement au niveau du noyau, soit via des modules soit en patchant direct en mémoire.
En espérant que l'anglais ne te rebute pas :
Linux Rootkits for Beginners - From Prevention to Removal www.giac.org/practical/GSEC/Jeromey_Hannel_GSEC.pdf
Locally checks for signs of a rootkit http://www.chkrootkit.org/
Linux Kernel Rootkits http://la-samhna.de/library/rootkits/
PS : A mon avis, tu es charte, mais tu trouveras plus de linuxiens aptes à te répondre sur fr.comp.securite ...
Nicob
Tweakie
On Sun, 25 Jan 2004, Nicob wrote:
On Sun, 25 Jan 2004 19:02:29 +0100, Lestat LIONCOURT wrote:
Je suis à la recherche de documentation indiquant comment modifier de s binaires afin d'empecher la détection de troyens sous linux. Je pense en particulier à ps, ls, netstat...
Tu cherches donc de la doc sur ce qui s'appellent des "root-kits".
[...]
En espérant que l'anglais ne te rebute pas :
[...]
Et si l'anglais te rebute, tu trouveras des articles de phrack traduits en francais traitant des rootkits et des LKMs sur ce site :
http://www.dg-sc.org/~phrack-fr/
En anglais, des docs dur les rootkits ici :
http://ouah.kernsh.org/textes12.html
Et sur les LKM la :
http://ouah.kernsh.org/textes18.html
-- Tweakie
On Sun, 25 Jan 2004, Nicob wrote:
On Sun, 25 Jan 2004 19:02:29 +0100, Lestat LIONCOURT wrote:
Je suis à la recherche de documentation indiquant comment modifier de s
binaires afin d'empecher la détection de troyens sous linux. Je pense en
particulier à ps, ls, netstat...
Tu cherches donc de la doc sur ce qui s'appellent des "root-kits".
[...]
En espérant que l'anglais ne te rebute pas :
[...]
Et si l'anglais te rebute, tu trouveras des articles de phrack traduits
en francais traitant des rootkits et des LKMs sur ce site :
On Sun, 25 Jan 2004 19:02:29 +0100, Lestat LIONCOURT wrote:
Je suis à la recherche de documentation indiquant comment modifier de s binaires afin d'empecher la détection de troyens sous linux. Je pense en particulier à ps, ls, netstat...
Tu cherches donc de la doc sur ce qui s'appellent des "root-kits".
[...]
En espérant que l'anglais ne te rebute pas :
[...]
Et si l'anglais te rebute, tu trouveras des articles de phrack traduits en francais traitant des rootkits et des LKMs sur ce site :
