rootkit for linux 10.小结

快要考试了。可能这个 rootkit 要告一段落了。很难每天都更新了。先想象一下下一步的计划吧：

 

分析 selinux

实现链路层的可靠的传输协议

在其上实现简单的网络文件系统协议

 

今天看了一点 selinux 的代码，文件系统部分。发现 linux 内核的安全机制还是很不错的，很深入底层。selinux 的 hook是在 vfs 层上的。这个位置可以说是安全工具能 hook 到的最底层的位置了。再往下就没意义了。如果管理员对 selinux 进行妥善设置，完全可以防住大多数木马的。

而网络的部分，netfilter 机制也是很 perfect 的。虽然没用过，但是从代码看来，它的接口真的很不错。

 

我们的 rootkit，可以在更底层的地方绕过这些 hook。然而，在设计得这么好的安全机制前，我们的 rootkit 显得很没技术含量，很垃圾，很黄很暴力。

 

那这么没技术含量的东西，干嘛还要做呢？

实际上，做这个 rookit 能让我熟悉内核，熟悉汇编，熟悉操作系统，而且富有一定的乐趣，是个一举多得的事情。而不在于技术含量有多少，只在于我做得开心。

 

同时，也是了结我一半年前的一个愿望。那时候，我写了一个基于 winsock 的木马，叫做“糯米远程控制 v1.0”。一个搞网络安全的师兄说“你这木马没用的，只要用了socket，就能被我们的防火墙检测到”。所以，我打算做一个有用的木马，叫做“糯米远程控制 v2.0”。现在，我知道怎么做了。哎，一年一转眼就过去了，能实现以前的愿望，感觉真的很欣慰。