1.系统命令替换,通过stat查看文件状态修改,MD5sum查看hash是否匹配,如果要修复,将正常文件复制回来即可。
2.Hook系统调用,在调用链中修改恶意库,造成恶意调用实现隐藏。查找此类 通过sysdig proc.name=ps查看ps的调用 ,找到恶意的动态库即可。也可以查看环境变量LD_PRELOAD等属性,查看是否存在不正常的位置。
mount挂载隐藏
修复方法,查看挂载,发现是否有异常
yzcxld 2020-11-16 22:02 原文
1.系统命令替换,通过stat查看文件状态修改,MD5sum查看hash是否匹配,如果要修复,将正常文件复制回来即可。
2.Hook系统调用,在调用链中修改恶意库,造成恶意调用实现隐藏。查找此类 通过sysdig proc.name=ps查看ps的调用 ,找到恶意的动态库即可。也可以查看环境变量LD_PRELOAD等属性,查看是否存在不正常的位置。
(1)调用openat系统函数获取/proc目录的文件句柄
(2)调用系统函数getdents递归获取/proc目录下所有文件信息(包括子目录)
(3)调用open函数打开/proc/进程pid/stat和/proc/进程pid/status,以及/proc/进程pid/cmdline文件开始获取进程信息
(4)然后打印输出
这种劫持不会修改源文件,因此在proc下可以看到是否有变化,这里是查看su的,通过查看exe指向发现我是否存在异常
mount挂载隐藏
修复方法,查看挂载,发现是否有异常