调查别人微信信息大概多少钱?黑客400元查微信记录可靠...

调查别人微信信息大概多少钱?黑客400元查微信记录可靠...

黑客平台hacker2020-10-28 19:00:002375A+A-

由于市面上没有现成的工具能够执行这种攻击,所以我们自己制作了工具,并把它命名为EvilAbigail。Evil maid攻击可以针对任何操作系统。此次的研究我们针对的是使用LUKS全盘加密的Linux系统。

一般来说,当Linux系统使用了全盘加密后,会由一小块分区还是没有加密,这个区域就是用来解密和引导加密磁盘的。这个分区会挂载在/boot,并且包含内核和初始RAM磁盘(initrd)。虽然攻击内核或者bootloader也是可行的,但是我们还是针对initrd进行了攻击。

initrd是指一个临时文件系统,它在启动阶段被Linux内核调用。initrd主要用于当root文件系统被挂载之前,进行准备工作。initrd 中包含了是解密和挂载root文件系统所需要的目录和可执行程序的最小集合。一旦initrd任务完成,它就会执行pivot_root,从而将initrd根文件系统卸载掉,并挂载真正的根文件系统。

一般来说,initrd是一个通过gzip压缩的cpio镜像。我们测试的基于Debian的操作系统是这样,但基于RedHat的操作系统 (Fedora, RHEL, CentOS)现在使用的是dracut,包含一个未压缩的cpio镜像。基于Debian的initrds 会用ash shell脚本执行启动,而dracut则会用systemd和它所关联的配置方法。

为了执行我们的攻击,我们选择使用一个基于LD_PRELOAD的bootkit,但是其实也可以注入恶意的内核或可执行文件中。我们使用LD_PRELOAD的主要目标是对刚刚解密完成的root文件系统中的第一个可执行文件注入一个共享对象。第一个可执行文件通常是/sbin/init,PID一般会是1。进行攻击最简单的方法就是修改init脚本,导出这个环境变量,这样执行pivot_root的时候环境变量就设置好了。因为当文件系统更改的时候还得在合适的时候(解密之后)把共享对象复制到新系统中。把以下这两行放入initrd的init脚本中,插在切换文件系统之前:


(责任编辑:网络)

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理