Rootkit入侵工具Knark分析及防范(3)

Knark的作者Creed，发布了一个工具：knarkfinder.c来发现Knark隐藏的进程。

检查系统是否安装有Knark的最直接有效的方法是以非特权用户身份来运行Knark的一个软件包如：rootme，看该用户是否能获得root权限。由于目前Knark目前没有认证机制，因此入股系统被安装了Knark任何一个本地用户运行这个程序都能获得root权限。

还有一个最有效的发现系统是否被knark或者类似的rootkit所感染的方法就是使用kstat来检测，具体参考本站的Nexeon写的解决方案文章：检测LKM rootkit。

Knark防范

防止knark最有效的方法是阻止入侵者获得root权限。但是在使用一切常规的方法进行安全防范以后，防止knark之类的基于LKM技术的rootkit的方法是：

*创建和使用不支持可加载模块的内核，也就是使用单块内核。这样knark就不能插入到内核中去了。

*使用lcap (http://pweb.netcom.com/~spoon/lcap/)实现系统启动结束以后移除内核LKM功能，这样可以防止入侵者加载模块。然而这种方法存在一定的问题，入侵者可以在获得root权限以后修改启动脚本，在lcap启动之前来加载knark模块从而逃避lcap的限制。