¿Aleatorizar números de llamadas del sistema para evitar rootkits?

Navega tus respuestas
3

He oído hablar de rootkits que infectan computadoras al hacer que un simple virus infecte la computadora, haga una llamada a la computadora de "comando" que contiene las especificaciones de la computadora de destino.
 Con las especificaciones, el equipo de comando comienza a compilar un rootkit para infectar el equipo de destino o entrega una versión precompilada del mismo.
Esto parece ser una forma efectiva de evitar los matices de las máquinas Linux que admiten una amplia variedad de plataformas.

Sin embargo, ¿qué pasaría si algo como los números de llamada del sistema en la máquina de destino fuera diferente de los números de llamada estándar del sistema, tal vez incluso aleatorios en la instalación?

¿Impediría esto que el equipo de comando pueda enviar un rootkit / virus funcional?

¿Se pueden especificar / asignar números de llamadas al sistema? (Supongo que esto es posible mediante la modificación y compilación de su propio kernel, ¿o no?)

    
pregunta Expanding-Dev 13.01.2017 - 01:19
fuente

2 respuestas

2

Si bien esto puede disuadir algunos ataques automáticos dirigidos al enlace de llamadas al sistema, cualquier persona con acceso para instalar un rootkit podría desarmar un binario común en el sistema para determinar sus llamadas al azar o usar su propio entorno personalizado para compilar su código. También hay una variedad de técnicas para determinar dónde están ubicadas las funciones en la memoria del kernel sin System.map y así sucesivamente.

Además, no todos los rootkits confían en la tabla syscall / SSDT hooking. Así que básicamente, no. Esto no es una mitigación efectiva, y probablemente sería más un obstáculo para que tenga que hacer las modificaciones.

    
respondido por el movsx 13.01.2017 - 04:02
fuente
3

Eso sería algo muy disruptivo; no sería capaz de ejecutar ningún binario en su sistema y tendría que compilar todo desde cero; incluyendo el compilador.

La seguridad por oscuridad apenas funciona.

    
respondido por el ndrix 13.01.2017 - 01:35
fuente

Lea otras preguntas en las etiquetas

¿Puedo usar CloudFlare si quiero evitar las órdenes secretas de NSA y FISA? [cerrado] ¿Cómo informa el servidor web a los navegadores sobre la capacidad https?