分析osx.crisis黑客病毒

分析osx.crisis黑客病毒

入侵渗透hacker2019-04-28 11:26:2716242A+A-

    黑客病毒osx.crisis对比某些盆友并不陌生,它曽经在互联网上走红和deiver-macos-master病毒的涵数名同样,乃至思维也基础相同,下列也是安会学者对osx.crisis病原体的深入分析。

   分析osx.crisis黑客病毒 第1张

   先从黑客病毒OSX rootkit通道涵数mchook_start开展剖析得话,关键也是注冊空格符web端设施,随后算是文件系统中建立的设施连接点,应属基本的这种控制器通道形为,详尽的状况给出图。

   分析osx.crisis黑客病毒 第2张

   其相匹配的空格符设施变换表得话也给出:

  主IOCTL回涵数因此也是3个,列举得话cdev_open和cdev_close是为空的,全部解决思维都包含在cdev_ioctl的涵数中,详尽的状况给出图:

 分析osx.crisis黑客病毒 第3张

  次之得话再看cdev_ioctl回调函数,这类涵数得话装有各类潜伏掩藏的形为,特别是在在mchook.h文件头里就界定了许多的cdev_ioctl中启用的涵数,从这类涵数明上也基础就能推断出rootkit包括有文件隐藏、进程隐藏和内核模块掩藏等作用,详尽的给出图:

分析osx.crisis黑客病毒 第4张

   

   在程序的掩藏中mac.cosx每一程序的语义都能储存在proc构造中,在allproc链接表中也可以储存着多有程序proc的构造表针,根据这类allproc链接表就能上溢相对的程序proc构造;也有该黑客病毒编码掩藏的程序是坐落于相对程序链接表和程序Hash表层都能开展移祛除,当发觉沒有别的hash表清除程序基本信息的当时,就能造成可根据ps-p pid指令来搜索程序,详尽的状况给出图:

   分析osx.crisis黑客病毒 第5张

   对于黑客病毒OSX rootkt内核模块的掩藏,初期得话是对leopard体系内核模块掩藏启用hide_kext_leopard涵数,而如今得话就已不应用,就仅仅简易的遍历kmod_info内核模块的链接表构造,再寻找相符合的模快名那样就能在链接表中开展去除,那样在动物的特征kextstat指令的当时就馋不上掩藏的内核模块了,具体情况给出图:

分析osx.crisis黑客病毒 第6张

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 断渊云胡2022-05-28 00:28:44
  • 部解决思维都包含在cdev_ioctl的涵数中,详尽的状况给出图:   次之得话再看cdev_ioctl回调函数,这类涵数得话装有各类潜伏掩藏的形为,特别是在在mchook.h文件头里就界定了许多的cdev_io
  • 久隐师2022-05-27 17:36:31
  • 根据ps-p pid指令来搜索程序,详尽的状况给出图:      对于黑客病毒OSX rootkt内核模块的掩藏,初期得话是对leopard体系内核模块掩藏启用hide_kext_leopard涵数,而如今得话就已不应用,就仅仅简易的遍历kmod_

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理