[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:02164] Re: SNARE（Re:すなれ？）

To: port139ml@xxxxxxxxxxxxx
Subject: [port139ml:02164] Re: SNARE（Re:すなれ？）
From: Junichi Murakami <e99235@xxxxxxxxxxxxxxxxxxxxx>
Date: Fri, 31 Jan 2003 17:28:01 +0900

むらかみです。

On Fri, 31 Jan 2003 15:50:47 +0900
Akira Ryowa <ryowa@xxxxxxxxxx> wrote:

> RH 8.0 default kernel 対応版がアップされているようですね。
> > Binary snare-core RPM for RedHat 8.0 (only) using the default kernel:
> http://snare.sourceforge.net/Download/RH80/
> 
> ＃RH 8.0 のテスト環境が手元にないので、試せないのですが ^^; 。

とりあえず、落としてinit_module()だけ覗いてみました。
結局、StJude(http://sourceforge.net/projects/stjude)の方式を採用したようです。

具体的には、特定の範囲をメモリサーチしてsys_call_tableを探しています。
特定の範囲の選択には、loops_per_jiffyのアドレスから、boot_cpu_dataのアドレス
までとなっていますがこれはおそらくksyms -aから推測した値だと思います。
私の手元だと次のような感じです。(2.4.20, sys_call_table exportされている状態)

% ksyms -a | sort

c02340c0  init_mm_Rca800292               
c02341a8  loops_per_jiffy_Rba497f13       
c02341c0  system_utsname_Rb12cdfe7        
c02343d8  sys_call_table_Rdfdb18bd        
c0234900  boot_cpu_data_R0657d037         

ただ、sys_call_tableがexportされなくなった経緯(lkm rootkitとか)を
考えるとこいう手法はあまり頂けない気がします。

これから(2.5以降)もexportされないことを考えるといっそpatchの方向
というのもありなのかなと思います。

--- 
Junichi Murakami / e99235@xxxxxxxxxxxxxxxxxxxxx

References:
- [port139ml:02106] Re: SNARE（Re:すなれ？）
  - From: Kensuke Nezu
- [port139ml:02107] Re: SNARE（Re:すなれ？）
  - From: Junichi Murakami
- [port139ml:02163] Re: SNARE（Re:すなれ？）
  - From: Akira Ryowa

Prev by Date: [port139ml:02163] Re: SNARE（Re:すなれ？）
Next by Date: [port139ml:02165] Re: [update]chkrootkit 0.39
Previous by thread: [port139ml:02163] Re: SNARE（Re:すなれ？）
Next by thread: [port139ml:02167] Re: SNARE（Re:すなれ？）
Index(es):
- Date
- Thread