如何利用ebpf检测rootkit项目取证呢？

前言

Rootkit木马是一种系统内核级病毒木马，其进入内核模块后能获取到操作系统高级权限，从而使用各种底层技术隐藏和保护自身，绕开安全软件的检测和查杀，通过加载特殊的驱动，修改系统内核，进而达到隐藏信息的目的。rootkit的取证分析是取证工作中的一大难点。

正文

常见的linux rookit取证方式有利用system.map发现_stext、_etext地址异常,检测加载的异常库文件，检测LD_PRELOAD等。常用的软件包括volatility,其中的插件:linux_apihooks、linux_psenv、linux_proc_maps等都可以帮助我们快速的分析有无恶意软件，以及恶意软件使用的手法，快速发现rootkit痕迹。

今天看的两个项目分别是Babyhids和bpf-hookdetect

先看的是bpf-hookdetect，对这几个模块进行检测

如果存在调用，则记录。

在结束时判断有无记录，通过记录判断以及反馈有无hooked,以及一些进程信息

记录hooked的界面反馈

对于bpf-hookdetect，babyhids可以检测内核调用模块文件，能得到更多信息。

babyhids界面hooked反馈

审核编辑：刘清