리눅스마스터1급: 웜(Worm) 바이러스 백도어- 프로세스 은닉 백도어(Process Hiding Backdoors)

리눅스마스터1급: 웜(Worm) 바이러스 백도어- 프로세스 은닉 백도어(Process Hiding Backdoors)

침입자는 그들이 구동하고 있는 프로그램들을 숨기려고 한다.

그들이 숨기려고 하는 프로그램들은 일반적으로 패스워드 크래커, 스니퍼 프로그램 등이다.

아래는 프로세스를 숨기는 몇 가지 방법이다.

①숨기려는 프로그램 자신의 argv[]를 수정하여 다른 프로세스 이름으로 보이도록 한다.

②침입자는 스니퍼 프로그램을 syslog와 같은 합법적인 서비스로 이름을 바꿀 수 있다.

관리자가 “ps” 등으로 어떤 프로세스들이 구동되고 있는지 점검하면 정상적인 이름들이 나타나게 된다.

③침입자는 라이브러리 루틴들을 수정하여 “ps"가 특정 프로세스를 보여주지 못하게 할 수 있다.

④백도어 프로그램을 패치하거나 인터럽트 driven 루틴들을 삽입하여 프로세스 테이블에 나타나지 않도록 할 수 있다.

⑤커널을 수정하여 특정 프로세스를 숨기도록 할 수도 있다.