电梯直达

1楼 [收藏(0)] [报告]

发表于 2005-08-23 13:38 |只看该作者 |倒序浏览

linux下，如果入侵者没有进行系统调用，就没有可能进行入侵，不知道这话对不对，那位有入侵过linux系统的请告诉我，你们进行入侵破坏的时候，是否都用到了系统调用？那怎么样的系统调用才算是有入侵嫌疑的？

2楼 [报告]

发表于 2005-08-23 13:43 |只看该作者

linux下的入侵检测问题

什么叫进行系统调用？

你执行ls命令系统自己int $0x80陷入内核不是去执行系统调用吗，虽然对你不可见？

3楼 [报告]

发表于 2005-08-23 14:18 |只看该作者

楼上的是否可以说的清楚些呢，我是说如有人要进行入侵破坏，就一定要调用一些系统函数是吗，ls调用的系统函数都是些不太重要的函数，我的意思是说可否对里面比较重要的系统函数进行监视而进行入侵检测？

4楼 [报告]

发表于 2005-08-23 14:57 |只看该作者

kernel rootkit通常都会修改或劫持ls这种命令所调用的system call的

你可以看一下这篇：
http://overflow.nease.net/aya/detect_kernel_rootkit.txt

linux下的入侵检测问题 [复制链接]