如果在入侵事件调查中,传统的工具完全失效了,该怎么办?当在对付入侵者已经加载的内核 模块时,就陷入了这种困境。由于从用户空间升级到了内核空间,LKM方式的入侵改变了以往使用的入侵响应的技术。一旦内核空间遭破坏,影响将覆盖到整个用 户空间,这样入侵者无须改动系统程序就能控制他们的行为。而用户即使将可信的工具包上传到被入侵的主机,这些工具也不再可信。本文将揭示恶意的内核模块 如何工作,并且给出一些我开发的对付此类入侵的工具。
2024-01-14 15:22:17
44KB
1
LKM的存在对系统管理员是个福音,对入侵检测却是个噩梦。LKM最初被设计用来无 须重新启动而改变运行中的内核,从而提供一些动态功能。动态内核提供了对诸如新文件系统类型和网卡等设备的额外支持。此外,由于内核模块能够访问内核的所 有调用和存储区,它能不受控制地改动整个操作系统的各个部位,因而所有调用和内存常驻的结构都有被恶意内核模块修改的危险。
2024-01-14 15:20:02
24KB
1
适用于树莓派等Debian linux的系统
包含mt7601 sta和ap两种驱动代码,
直接编译就可以使用
2024-01-14 10:28:56
8.56MB
1
在网络资源有限的情况下,为了高效的管理和分配网络带宽和限制网络中的异常流量,保证重要用户的通信畅通,通常需要实时的网络流量控制。普遍采用的方法是Linux Traffic Control(TC)命令+IPTABLES,但这种方法结构繁琐、效率低下。通过分析Linux网络流量控制原理和LQL库结构的基础上,经过对流量模型策略的重新设计、LQL库的扩充以及U32过滤器的改进,提出了一种基于LQL库的流量控制方法。该方法摒弃了传统方法中所运用的TC命令解析,netlink传输,内核空间执行的3层结构,而直接在Linux内核的框架下,采用LQL库直接对内核进行操控,并改进了相关U32过滤器以对IP段的流量控制,从而实现对系统的智能流量控制。实验表明,这种方法能够大幅度提高Linux内核和用户空间命令解析及传输的时间效率,减少设备延时,增强设备的实时性,同时保证带宽合理利用。
2024-01-13 16:38:17
648KB
1
修改安卓4.4代码,通过以太网来分享设备的internet网络(4G/wifi),实现类似于wifi热点或者USB网络共享的功能,我把它定义为以太网网络共享(相当于路由器的lan口)。提交代码为framework部分,界面部分未包含。
2024-01-13 15:17:56
846KB
1
完美使用RSA2结合AES对数据进行加密,兼容RSA2,可以使用长度为2048的秘钥,且AES加解密不受Android版本限制,详情请看博客:https://yuzhiqiang.blog.csdn.net/article/details/88657793
2024-01-13 15:14:46
114KB
1