当前位置:首页 > 报告详情

分会场2_郝立鹏_ebpf技术在rootkit攻防中的应用_报告PPT.pdf

上传人: 科*** 编号:713377 2025-06-08 46页 1.91MB

1、eBPF在rootkit攻防中的应用第三届 eBPF开发者大会w w w.e b p f t r a v e l.c o m中 国 西 安 从业12年,现就职于青藤云安全公司(公司愿景:让云更安全)从业至今一直专注于网络安全领域,在主机侧和网络侧入侵检测、网络流量分析、抗DDOS领域积累了丰富的经验 持续探索eBPF技术在安全领域中的应用,研究过Falco、Tracee等开源项目。热爱技术分享,在知乎、b站分享安全类的编程实战,希望能对网络安全的新人有所帮助,为中国网安事业贡献自己的一份力量。第 三 届 e B P F 开 发 者 大 会个人介绍 Rootkit介绍 Rootkit种类和常见实

2、现手法 ebpf来检测Rootkit的优势和劣势 Rootkit的攻击流程中各个阶段的实现 使用ebpf技术检测Rootkit攻击流程中的各个阶段第 三 届 e B P F 开 发 者 大 会演讲大纲第 三 届 e B P F 开 发 者 大 会Rootkit是什么?第 三 届 e B P F 开 发 者 大 会1、偷偷敲入你家的小偷不仅潜入你家,还偷走钥匙(获取系统最高权限)在你家装了隐藏的摄像头(后门程序)擦掉所有活动痕迹(清除日志)2、更可怕的它能让自己隐形(隐藏进程)你家的监控系统看不到他(欺骗安全软件和系统安全组件)他动过的东西你也发现不了(隐藏文件)他还能修改你家得监控系统(修改系

3、统功能)第 三 届 e B P F 开 发 者 大 会Rootkit行为进程网络连接隐藏自身文件第 三 届 e B P F 开 发 者 大 会Rootkit的种类和常见实现第 三 届 e B P F 开 发 者 大 会为什么采用ebpf检测内核态Rootkit?第 三 届 e B P F 开 发 者 大 会跟踪方法评判标准低开销隐蔽性强安全边界全系统可见性安全性第 三 届 e B P F 开 发 者 大 会跟踪方法横向对比#RSAC技术低开销隐蔽性强安全边界可见性安全ptraceLD_PRELOAD内核模块eBPFeBPF是最好的跟踪技术第 三 届 e B P F 开 发 者 大 会Rootk

4、it攻击流程简介命令执行建立通信通道Hooking技术内核模块隐藏内核模块加载第 三 届 e B P F 开 发 者 大 会一、内核模块加载通信通道Hooking技术内核模块加载finit_moduleinit_moduledo_init_modulekprobe内核模块隐藏命令执行第 三 届 e B P F 开 发 者 大 会一、内核模块加载和检测实验第 三 届 e B P F 开 发 者 大 会二、内核模块隐藏命令执行Hooking技术内核模块隐藏内核模块加载通信通道第 三 届 e B P F 开 发 者 大 会二、内核模块组织形式第 三 届 e B P F 开 发 者 大 会二、内核模块

5、隐藏原理第 三 届 e B P F 开 发 者 大 会二、内核模块隐藏实验第 三 届 e B P F 开 发 者 大 会三、Hooking技术命令通道通信通道Hooking技术内核模块隐藏内核模块加载第 三 届 e B P F 开 发 者 大 会三、Hooking技术#RSACSyscall Table HookingFile Operations HookingSequence Operations Hooking命令执行通信通道内核模块隐藏内核模块加载Hooking技术1、Syscall Table Hooking第 三 届 e B P F 开 发 者 大 会三、Hooking技术第 三

6、届 e B P F 开 发 者 大 会Hooking Syscall table 原理s_textKernel Spacechdir functionKernelmodulememorymapMaliciousgetdentsfunctiongetcwfunctionKernelmemorymapgetdentsfunction#Syscalltable.78getdents79getcw80chdire_text/bin/ls第 三 届 e B P F 开 发 者 大 会Hooking Syscall table Diamorphine示例第 三 届 e B P F 开 发 者 大 会Sys

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
本文主要介绍了eBPF技术在rootkit攻防中的应用。关键点如下: 1. eBPF技术可用于检测Rootkit,具有低开销、高隐蔽性和强安全边界等优势。 2. Rootkit常见行为包括隐藏进程、网络连接和自身文件。 3. eBPF技术在跟踪方法中表现优异,相较于ptrace、LD_PRELOAD和内核模块等传统技术,具有更好的全系统可见性和安全性。 4. Rootkit攻击流程涉及内核模块加载、通信通道建立、Hooking技术等,eBPF可检测这些环节。 5. 文章通过实例详细阐述了Syscall Table Hooking、File Operation Hooking等Hook技术的原理和检测方法。 6. eBPF技术还可用于检测通信通道建立、命令执行等异常行为。 综上,eBPF技术在rootkit攻防领域具有广泛的应用前景,有助于提高网络安全防护能力。
"eBPF如何神奇防御Rootkit?" Rootkit的隐形术怎么破?" 命令执行如何被监控?"
客服
商务合作
小程序
服务号
折叠