Obchazeni HIDS

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Nostur
Datum: 25.8.2006
Hodnocení/Hlasovalo: 3.25/8

Clanek zminujici obchazeni HIDS pred a po utoku

HIDS
* Modifikace/hackovani Kernelu
* Obchazeni stack protekce
* Logovani HTTP
* Hacking knihoven

Modifikace/hackovani Kernelu
-Windows
-Unix

--Windows
-Kratky patch odstranujici bezpecnostni omezeni v domene NT
-Muze se pouzit k manipulaci ci primo odstaveni HIDS

--Unix
-Kernel modul itsf.c Zvlastni modul, neni v /proc/modules
Muze ukryt procesy ci sniffer, fajly, redirektovat funkci execve(), pomoci magic setuid dostat root, ci fungovat jako socketovy backdoor

Logovani/analyza HTTP logu
stejne metody jako pro obchazeni HIDS na protoklu HTTP, viz predchozi clanek

Hackovani knihoven
-Promenne v prostredi ktere presmerovavaji lokace sdielnych knihoven
-Knihovna pouziva wrapper, ktery ji blokuje ci modifikuje za behu. Wrapper je spsuten privilegovanym programem, aby toho byl schopen.

~Nostur