forum.opennet.ru - "Модуль ядра Linux для распознавания rootkit'ов" (25)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Модуль ядра Linux для распознавания rootkit'ов"

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Модуль ядра Linux для распознавания rootkit'ов"		+/–
Сообщение от opennews (??) on 25-Апр-09, 13:05
Giuseppe Cocomazzi, известный разработчик FreeBSD и Linux, опубликовал (http://www.securityfocus.com/archive/91/502934/30/0/threaded) код нового проекта Curuncula (http://www.packetstormsecurity.org/filedesc/curuncula-tgz.html), представляющего собой модуль ядра Linux для определения наличия rootkit'ов в ядре, основанных (https://www.opennet.ru/opennews/art.shtml?n) на встроенных в процессоры Intel средствах отладки, в том числе использующих флаг доступа GD. Модуль работает в ядрах серии 2.4 и 2.6, основан на использовании механизма трассировки процессов в процессорах Intel ("last branch recording"). URL: http://www.securityfocus.com/archive/91/502934/30/0/threaded Новость: https://www.opennet.ru/opennews/art.shtml?num=21450
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Модуль ядра Linux для распознавания rootkit'ов, goshanecr, 13:05 , 25-Апр-09, (1)

Модуль ядра Linux для распознавания rootkit'ов, Heckfy, 13:26 , 25-Апр-09, (3)

Модуль ядра Linux для распознавания rootkit'ов, Heckfy, 14:13 , 25-Апр-09, (4)

Модуль ядра Linux для распознавания rootkit'ов, anonymouse, 13:14 , 25-Апр-09, (2)
Модуль ядра Linux для распознавания rootkit'ов, pavlinux, 14:55 , 25-Апр-09, (5)

Модуль ядра Linux для распознавания rootkit'ов, Vadim, 15:37 , 25-Апр-09, (7)

Модуль ядра Linux для распознавания rootkit'ов, pavlinux, 15:56 , 25-Апр-09, (9)

Модуль ядра Linux для распознавания rootkit'ов, Vadim, 18:00 , 25-Апр-09, (14)

Модуль ядра Linux для распознавания rootkit'ов, dmsuslov, 17:18 , 25-Апр-09, (11)

Модуль ядра Linux для распознавания rootkit'ов, Андрей, 15:47 , 25-Апр-09, (8)

Модуль ядра Linux для распознавания rootkit'ов, Аноним, 16:07 , 25-Апр-09, (10)

Модуль ядра Linux для распознавания rootkit'ов, User294, 17:55 , 25-Апр-09, (13)

Модуль ядра Linux для распознавания rootkit'ов, pavlinux, 19:58 , 25-Апр-09, (15)

Модуль ядра Linux для распознавания rootkit'ов, Sergey, 13:31 , 28-Апр-09, (27)

Модуль ядра Linux для распознавания rootkit'ов, Аноним, 17:28 , 25-Апр-09, (12)
Модуль ядра Linux для распознавания rootkit'ов, fiuewbiu34, 21:48 , 25-Апр-09, (16)

Модуль ядра Linux для распознавания rootkit'ов, waf, 23:34 , 25-Апр-09, (17)

Модуль ядра Linux для распознавания rootkit'ов, fiuewbiu34, 14:04 , 26-Апр-09, (21)

Модуль ядра Linux для распознавания rootkit'ов, Romik, 00:58 , 26-Апр-09, (18)

Модуль ядра Linux для распознавания rootkit'ов, XoRe, 12:02 , 26-Апр-09, (20)

Модуль ядра Linux для распознавания rootkit'ов, Frank, 09:27 , 27-Апр-09, (22)
Модуль ядра Linux для распознавания rootkit'ов, mazzay, 10:07 , 27-Апр-09, (23)
Модуль ядра Linux для распознавания rootkit'ов, id, 12:24 , 27-Апр-09, (24)
Модуль ядра Linux для распознавания rootkit'ов, Аноним, 19:53 , 27-Апр-09, (26)

Модуль ядра Linux для распознавания rootkit'ов, Alex542, 18:57 , 22-Дек-09, (29)

Сообщения по теме [Сортировка по времени | RSS]

1. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от goshanecr (??) on 25-Апр-09, 13:05

А почему если Giuseppe Cocomazzi, известный разработчик FreeBSD и Linux, то проект только для руткитов под linux? Понятно что абсолютно разные системы BSD и Linux но лучше ведь начинать писать сразу под всё где это может пригодиться

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от Heckfy (ok) on 25-Апр-09, 13:26

Потому, что продукты будут разные по строению, а работа над несколькими проектами в один момент времени слишком утомительна.
Ко всему прочему, его модуль работает в двух ядрах - 2.4 и 2.6. И не каждый сможет дать однозначный ответ, возможно ли было написать универсальный код.
Так что, на первый взгляд, он написал два продукта.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от Heckfy (ok) on 25-Апр-09, 14:13

Кстати, авторам руткитов осталось только научиться эмулировать загруженность этого модуля и его работу. :-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от anonymouse on 25-Апр-09, 13:14

Лучше написать под одну систему и затем портировать под другую, чем хвататься за все и не довести до ума нигде.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от pavlinux (ok) on 25-Апр-09, 14:55

Процессор АМД да и ядро с kernel.org - чё делать???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от Vadim (??) on 25-Апр-09, 15:37

застрелиться...
Ъ по ссылкам не ходят? ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от pavlinux (ok) on 25-Апр-09, 15:56

Ну а по делу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от Vadim (??) on 25-Апр-09, 18:00

А по делу, по ссылки написано, что автор выпустил маленький модуль ядра, который использует ОСОБЕННОСТИ архитектуры процессоров интел и делится им с сообществом, чему стоит возрадоваться. Под АМД если подобный функционал и существует, то он вероятно значительно отличается от интел, владельцы АМД могут покопаться в спеках на свой процессор и выслать патч автору.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от dmsuslov (??) on 25-Апр-09, 17:18

Да, кстати, у меня тоже AMD. Не будет работать с ним?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от Андрей (??) on 25-Апр-09, 15:47

Идёт к тому, что заметное процессорное время будет тратиться на проверки безопасности.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от Аноним (??) on 25-Апр-09, 16:07

А мы сделаем 50-ти ядерные процессоры, и время станет совсем не заметным. А вообще по теме процессоров: http://www.3dnews.ru/news/12_yadernie_protsessori_opteron_po.../

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от User294 (ok) on 25-Апр-09, 17:55

>А мы сделаем 50-ти ядерные процессоры,
Хз как там насчет 50, а АМД пообещало к 2010 году 16-ядерные оптероны.Не так уж далеко и до 50 осталось? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от pavlinux (ok) on 25-Апр-09, 19:58

Сделали бы 2-х ядерный на 6 Ghz было бы чудно...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от Sergey (??) on 28-Апр-09, 13:31

>Сделали бы 2-х ядерный на 6 Ghz было бы чудно...
А зачем? Коллеги как-то тестировали два проца, оба 4х ядерных, один Sparc VII 2.5Gz, PowerV+ 5.0Gz, спарк показал производительность меньше на 2-3%, что укладывается в погрешности измерений. Цена сервера на спарке более чем в 2 раза ниже чем на power. И зачем нужен кипятильник на 6Gz?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от Аноним (??) on 25-Апр-09, 17:28

заметьте. только неавно говорили про новый тип рткитов для линукс ядра.
а теперь вот что выпустили. так что это гуд. как говориться "full disclosure".
и этот принцип РАБОТАЕТ!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от fiuewbiu34 on 25-Апр-09, 21:48

Скомпилировал я этот модуль, подгрузил, при вызове lsmod система ушла в ребут без предупреждений.
CPU: Intel E8400
ядро 2.6.29

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от waf (ok) on 25-Апр-09, 23:34

А ты не молчи, а сразу bugreport.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от fiuewbiu34 on 26-Апр-09, 14:04

уже

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от Romik (??) on 26-Апр-09, 00:58

В слове "основанных" ссылка куда-то не туда ведёт.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от XoRe (ok) on 26-Апр-09, 12:02

>В слове "основанных" ссылка куда-то не туда ведёт.
Там была новость про руткит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от Frank (??) on 27-Апр-09, 09:27

Ждём новых руткитов, использующих особые особенности процессоров Intel для сокрытия своего присутствия от модулей распознавания руткитов!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от mazzay on 27-Апр-09, 10:07

и ждем новых модулей для модулей ядра Linux для распознавания rootkit`ов

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от id on 27-Апр-09, 12:24

50 ядер 1 из которых используется пользователем а остальные для самопроверки компьютера

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от Аноним (??) on 27-Апр-09, 19:53

Я тут подумал, а не может этот модуль быть руткитом?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Модуль ядра Linux для распознавания rootkit'ов" +/–

Сообщение от Alex542 on 22-Дек-09, 18:57

U meny Linux8helena. Pereustanovka izbavit ot Rurkita (znak voprosa)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
Сообщение от goshanecr (??) on 25-Апр-09, 13:05
А почему если Giuseppe Cocomazzi, известный разработчик FreeBSD и Linux, то проект только для руткитов под linux? Понятно что абсолютно разные системы BSD и Linux но лучше ведь начинать писать сразу под всё где это может пригодиться
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
	Сообщение от Heckfy (ok) on 25-Апр-09, 13:26
	Потому, что продукты будут разные по строению, а работа над несколькими проектами в один момент времени слишком утомительна. Ко всему прочему, его модуль работает в двух ядрах - 2.4 и 2.6. И не каждый сможет дать однозначный ответ, возможно ли было написать универсальный код. Так что, на первый взгляд, он написал два продукта.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
	Сообщение от Heckfy (ok) on 25-Апр-09, 14:13
	Кстати, авторам руткитов осталось только научиться эмулировать загруженность этого модуля и его работу. :-)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
Сообщение от anonymouse on 25-Апр-09, 13:14
Лучше написать под одну систему и затем портировать под другую, чем хвататься за все и не довести до ума нигде.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
Сообщение от pavlinux (ok) on 25-Апр-09, 14:55
Процессор АМД да и ядро с kernel.org - чё делать???
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
	Сообщение от Vadim (??) on 25-Апр-09, 15:37
	застрелиться... Ъ по ссылкам не ходят? ;)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
	Сообщение от pavlinux (ok) on 25-Апр-09, 15:56
	Ну а по делу.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
	Сообщение от Vadim (??) on 25-Апр-09, 18:00
	А по делу, по ссылки написано, что автор выпустил маленький модуль ядра, который использует ОСОБЕННОСТИ архитектуры процессоров интел и делится им с сообществом, чему стоит возрадоваться. Под АМД если подобный функционал и существует, то он вероятно значительно отличается от интел, владельцы АМД могут покопаться в спеках на свой процессор и выслать патч автору.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
	Сообщение от dmsuslov (??) on 25-Апр-09, 17:18
	Да, кстати, у меня тоже AMD. Не будет работать с ним?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
Сообщение от Андрей (??) on 25-Апр-09, 15:47
Идёт к тому, что заметное процессорное время будет тратиться на проверки безопасности.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
	Сообщение от Аноним (??) on 25-Апр-09, 16:07
	А мы сделаем 50-ти ядерные процессоры, и время станет совсем не заметным. А вообще по теме процессоров: http://www.3dnews.ru/news/12_yadernie_protsessori_opteron_po.../
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
	Сообщение от User294 (ok) on 25-Апр-09, 17:55
	>А мы сделаем 50-ти ядерные процессоры, Хз как там насчет 50, а АМД пообещало к 2010 году 16-ядерные оптероны.Не так уж далеко и до 50 осталось? :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
	Сообщение от pavlinux (ok) on 25-Апр-09, 19:58
	Сделали бы 2-х ядерный на 6 Ghz было бы чудно...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
	Сообщение от Sergey (??) on 28-Апр-09, 13:31
	>Сделали бы 2-х ядерный на 6 Ghz было бы чудно... А зачем? Коллеги как-то тестировали два проца, оба 4х ядерных, один Sparc VII 2.5Gz, PowerV+ 5.0Gz, спарк показал производительность меньше на 2-3%, что укладывается в погрешности измерений. Цена сервера на спарке более чем в 2 раза ниже чем на power. И зачем нужен кипятильник на 6Gz?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

12. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
Сообщение от Аноним (??) on 25-Апр-09, 17:28
заметьте. только неавно говорили про новый тип рткитов для линукс ядра. а теперь вот что выпустили. так что это гуд. как говориться "full disclosure". и этот принцип РАБОТАЕТ!
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

16. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
Сообщение от fiuewbiu34 on 25-Апр-09, 21:48
Скомпилировал я этот модуль, подгрузил, при вызове lsmod система ушла в ребут без предупреждений. CPU: Intel E8400 ядро 2.6.29
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
	Сообщение от waf (ok) on 25-Апр-09, 23:34
	А ты не молчи, а сразу bugreport.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
	Сообщение от fiuewbiu34 on 26-Апр-09, 14:04
	уже
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

18. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
Сообщение от Romik (??) on 26-Апр-09, 00:58
В слове "основанных" ссылка куда-то не туда ведёт.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
	Сообщение от XoRe (ok) on 26-Апр-09, 12:02
	>В слове "основанных" ссылка куда-то не туда ведёт. Там была новость про руткит.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

22. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
Сообщение от Frank (??) on 27-Апр-09, 09:27
Ждём новых руткитов, использующих особые особенности процессоров Intel для сокрытия своего присутствия от модулей распознавания руткитов!
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

23. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
Сообщение от mazzay on 27-Апр-09, 10:07
и ждем новых модулей для модулей ядра Linux для распознавания rootkit`ов
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

24. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
Сообщение от id on 27-Апр-09, 12:24
50 ядер 1 из которых используется пользователем а остальные для самопроверки компьютера
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

26. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
Сообщение от Аноним (??) on 27-Апр-09, 19:53
Я тут подумал, а не может этот модуль быть руткитом?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Модуль ядра Linux для распознавания rootkit'ов"		+/–
	Сообщение от Alex542 on 22-Дек-09, 18:57
	U meny Linux8helena. Pereustanovka izbavit ot Rurkita (znak voprosa)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору