分析osx.crisis黑客病毒
黑客病毒osx.crisis对比某些盆友并不陌生,它曽经在互联网上走红和deiver-macos-master病毒的涵数名同样,乃至思维也基础相同,下列也是安会学者对osx.crisis病原体的深入分析。
先从黑客病毒OSX rootkit通道涵数mchook_start开展剖析得话,关键也是注冊空格符web端设施,随后算是文件系统中建立的设施连接点,应属基本的这种控制器通道形为,详尽的状况给出图。
其相匹配的空格符设施变换表得话也给出:
主IOCTL回涵数因此也是3个,列举得话cdev_open和cdev_close是为空的,全部解决思维都包含在cdev_ioctl的涵数中,详尽的状况给出图:
次之得话再看cdev_ioctl回调函数,这类涵数得话装有各类潜伏掩藏的形为,特别是在在mchook.h文件头里就界定了许多的cdev_ioctl中启用的涵数,从这类涵数明上也基础就能推断出rootkit包括有文件隐藏、进程隐藏和内核模块掩藏等作用,详尽的给出图:
在程序的掩藏中mac.cosx每一程序的语义都能储存在proc构造中,在allproc链接表中也可以储存着多有程序proc的构造表针,根据这类allproc链接表就能上溢相对的程序proc构造;也有该黑客病毒编码掩藏的程序是坐落于相对程序链接表和程序Hash表层都能开展移祛除,当发觉沒有别的hash表清除程序基本信息的当时,就能造成可根据ps-p pid指令来搜索程序,详尽的状况给出图:
对于黑客病毒OSX rootkt内核模块的掩藏,初期得话是对leopard体系内核模块掩藏启用hide_kext_leopard涵数,而如今得话就已不应用,就仅仅简易的遍历kmod_info内核模块的链接表构造,再寻找相符合的模快名那样就能在链接表中开展去除,那样在动物的特征kextstat指令的当时就馋不上掩藏的内核模块了,具体情况给出图:
相关文章
- 2条评论
- 断渊云胡2022-05-28 00:28:44
- 部解决思维都包含在cdev_ioctl的涵数中,详尽的状况给出图: 次之得话再看cdev_ioctl回调函数,这类涵数得话装有各类潜伏掩藏的形为,特别是在在mchook.h文件头里就界定了许多的cdev_io
- 久隐师2022-05-27 17:36:31
- 根据ps-p pid指令来搜索程序,详尽的状况给出图: 对于黑客病毒OSX rootkt内核模块的掩藏,初期得话是对leopard体系内核模块掩藏启用hide_kext_leopard涵数,而如今得话就已不应用,就仅仅简易的遍历kmod_