后门技术和Linux LKM Rootkit详细解析

　　在这篇文章里,我们将看到各种不同的后门技术，特别是Linux的可装载内核模块(LKM)。我们将会发现LKM后门比传统的后门程序更加复杂，更加强大，更不易于被发现。知道这些之后，我们可以制造我们自己的基于LKM的Rootkit程序,主要体现在TCP/IP层,因为我们相信这是在系统管理员面前最好的隐藏后门的地方。

　　在一些黑客组织中,Rootkit(或者backdoor)是一个非常感兴趣的话题。各种不同的Rootkit被开发并发布在internet上。在这些Rootkit之中,LKM尤其被人关注,因为它是利用现代操作系统的模块技术。作为内核的一部分运行,这种Rootkit将会越来越比传统技术更加强大更加不易被发觉。一旦被安装运行到目标机器上,系统就会完全被控制在hacker手中了。甚至系统管理员根本找不到安全隐患的痕迹,因为他们不能再信任它们的操作系统了。

　　本文章以及我们开发的一些强大的LKM程序都是基于LinuxKernel2.2.x版本的。我们的目的是尽可能多的隐藏足迹。

　　在接下来的一部分,我们将介绍一下已经存在的后门技术,然后和LKM技术相比较,最后讨论我么的LKM程序的设计与实现。

　　后门程序的目的就是甚至系统管理员企图弥补系统漏洞的时候也可以给hacker系统的访问权限。后门程序使本地用户取得root权限可以这样做:设置uid程序,系统木马程序,cron后门。

　　1.设置uid程序。黑客在一些文件系统理放一些设置uid脚本程序。无论何时它们只要执行这个程序它们就会成为root。

　　2.系统木马程序。黑客替换一些系统程序,如"login"程序。因此,只要满足一定的条件，那些程序就会给黑客最高权限。

　　3.Cron后门。黑客在cron增加或修改一些任务,在某个特定的时间程序运行，他们就可以获得最高权限。

　　后门程序给远程用户以最高访问权限可以这样做:“.rhost”文件,ssh认证密钥,bindshell,木马服务程序。