Re: Info su rootkit

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Aprile 2002 ml@sikurezza.org
Soggetto: Re: Info su rootkit
Mittente: Zen
Data: 22 Apr 2002 21:49:05 -0000

On Mon, Apr 22, 2002 at 03:14:33PM +0200, Riccardo Ghiglianovich wrote:
> comunque "casalingo" ovvero non scaricato daInternet ,  quasi tutti i files 
> della directory /bin vengono modificati in lunghezza, ma non in data di 
> accesso, anche quelli meno "critici", quindi anche vi, sleep, cat e cose del 
> genere sono tutti piu' grossi.

	Prendi un eseguibile qualunque, ma pulito, da un'altra macchina,
	ad esempio cat.

	Verifica il comando "strace" (fai un md5sum o qualcos'altro), o
	prendilo da un'altra macchina.

	Fai uno strace di un cat "sano" e di un cat sulla macchina IBM,
	e poi confronta le due cose. Se tutto va bene, quello piu'
	grande fa altre cose, che scoprirai. :)

	Poi facci sapere! :)

ciao,
-- 
'Why do you close your eyes?' 'So that the room will be empty.'
zen@kill-9.it . Geek . And proud of it .
http://www.kill-9.it/jargon/html/entry/zen.html

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Info su rootkit, Riccardo Ghiglianovich

Data:
- precedente: Re: Interbusiness e checkpoint: svarioni, Zen
- successivo: Re: AntiSniff, Antonio Magrė
- indice

Argomento:
- precedente: Info su rootkit, Riccardo Ghiglianovich
- successivo: R: Info su rootkit, MaStEROfsYStEmS
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005