Инструментальные средства обеспечения безопасности

       

Сокрытие процесса


Обычно, когда взломщик захватывает машину, он запускает на ней другие утилиты, чтобы упрочить свое положение в сети. Одной из этих утилит может быть sniffer (см. лекцию "Анализаторы сетевых потоков"), используемый для перехвата паролей, передаваемых по сети. Поскольку sniffer должен оставаться в памяти еще долгое время после того, как взломщик покинул машину, здравомыслящий системный администратор может легко обнаружить его, набрав команду ps.

С установленной программой Knark можно скрыть любой процесс, послав сигнал с номером 31.

victim# kill -31 <Process ID>

Когда взломщик решит, что ему необходимо вернуть процесс в список процессов, он посылает сигнал номер 32.

victim# kill -32 <Process ID>



Содержание раздела