Rootkit隐藏进程和端口检测(2)

1. tcp隐藏端口检测

• 从1到65535遍历端口
• 创建一个基于tcp协议SOCK_STREAM的socket
• 通过bind返回值和错误码探测端口状态
• 如果被占用，通过listen 错误码是EADDRINUSE确定端口占用
• 通过ss或netstat命令过滤tcp协议，查看端口情况
• 对比差异，确认该端口为隐藏端口

socketsocket_desc=socket(AF_INET,SOCK_STREAM,0); 
bind(socket_desc,(struct sockaddr *)&address,sizeof(address)); 
listen(socket_desc,1); 
if(EADDRINUSE == errno) { 
    checkoneport(i, tcpcommand, TCP); 
} 

2. udp隐藏端口检测

相比tcp, udp使用SOCK_DGRAM的socket， 缺少listen这步，其余检测步骤类似

socketsocket_desc=socket(AF_INET,SOCK_DGRAM,0); 
bind(socket_desc,(struct sockaddr *)&address,sizeof(address)); 
if(EADDRINUSE == errno) { 
    checkoneport(u, udpcommand, UDP); 
} 

四、结论

本文提供的通过应用层方式检测rootkit中最常见的隐藏进程和端口，风险性小，可无缝集成到主机安全agent中。

【编辑推荐】

1. 2019年2月热门恶意软件调查结果出炉
2. 防止鱼叉式网络钓鱼攻击的8个窍门
3. 2019年网络犯罪和恶意软件预测
4. 如何检测无文件恶意软件攻击？
5. 勒索软件攻击目标：71%为中小企业

（编辑：ASP站长网）