ICMP Backdoor 逆向分析

之前有討論過關於後門(Backdoor)/木馬(Trojan)的分析，也說明它有兩種運行的方式，大多數惡意程式會使用Reverse Backdoor來建立未授權的遠端連線到駭客的中繼站，那麼它並不會馬上建立Reverse Backdoor的連線，所以需要使用HTTP(80)或SSL(443)來當作媒介，只要駭客傳遞給惡意程式指令，就能建立Reverse Sell(未授權的遠端連線)，這樣就很難發現當前系統有被執行Reverse Sell，那麼最常當作媒介不外乎就是HTTP和SSL，這兩種網路協定，因此這篇就討論另一個有趣的協定ICMP，透過它來當作傳遞執行Reverse Sell的指令。

木馬(Trojan)/後門(Backdoor)逆向分析

以前在學習惡意程式分析，都會先了解此惡意程式是如何撰寫的，這樣才能直搗黃龍，那麼此篇就來分析最常遇到的惡意程式：

Linux - Rootkit

現今越來越多惡意程式在肆虐系統，不過大多數的惡意程式，防毒軟體都可以識別，像是後門/木馬、檔案加密、鍵盤側錄等等都可以輕易阻擋，然而也有進階的惡意程式非常難抵抗，像是Rootkit，那麼什麼是Rootkit，顧名思義就是能提升到root權限的程式，不過它有二種形式的運行方式，第一種是在應用層(ring3)幫助駭客提升權限，這種就很好解決它，另一種是存在於核心層(ring0)，這種就比較頭痛，因為它能攔截(Hook)系統呼叫(system call)，所以能輕易的隱藏檔案、防止檔案被刪除，甚至無法將它移除(需要找到它的實際檔案在哪裡，不然無法根除)，因此防毒軟體才會難以阻擋這種高強度的惡意程式，那我們就來瞭解要如何利用Rootkit來提升權限。