시만텍은 SSHD 백도어에 대한 세부 정보를 공개했으며 SSHD 프로세스를 덤프하고 특정 문자열을 검색할 것을 제안했습니다.
노트:배경은 다음과 같습니다.Linux 백도어에 대한 시만텍 보고서
SSHD 프로세스를 덤프하고 덤프를 검색하는 단계를 수행하는 방법을 모르겠습니다. Fedora와 같은 Linux 시스템에서 이를 수행하기 위해 따라야 할 단계를 누군가가 설명할 수 있기를 바랍니다.
답변1
예를 들어 먼저 sshd의 프로세스 ID를 가져옵니다.
ps eax | grep sshd | fgrep -v grep | cut -f 2 -d ' '
그런 다음 이를 pid로 사용하여 순서도를 봅니다.
cat /proc/<pid_you_found>/maps
다음으로 gdb관심 있는 메모리 범위에 연결하고 덤프(파일로)합니다.
gdb --pid pid_you_found
(gdb) dump memory file_name startaddr endaddr
그런 다음 file_name에서 문자열을 구문 분석할 수 있습니다.
(저는 모든 메모리 범위에서 Python 스크립트를 재사용 gdb하고 출력을 파일에 씁니다.)