Laufenden Kernel patchen

Spasswolf · Beitrag von **Spasswolf** » 28.08.2006 14:54:12

In dieser Beschreibung von Dateisystemen habe ich unter dem Punkt Attributes folgendes gefunden:

Nowadays there is the capability system, see lcap(8), if you have that installed. Using

# lcap CAP_LINUX_IMMUTABLE
# lcap CAP_SYS_RAWIO

one disallows root to change the 'a' and 'i' bits, and disallows root to write to the raw disk or raw memory. Without this last restriction, root can do anything, since it can patch the running kernel code.

Es ist also wohl möglich den laufenden Kernel zu verändern. Hat hier jemand Ehrfahrung damit, oder weiss einen guten Link?

Gharika · Beitrag von **Gharika** » 28.08.2006 15:04:01

Naja, einen laufenden Kernel zu patchen wäre auch (mehr oder weniger) wenn ich einen Treiber entlade und geändert wieder lade - er läuft auch "Im Kernel". Aber einen kompletten (beliebig anderen) Kernel in der Läufzeit zu ersetzen geht nicht. Zumindest ist mir nichts derartiges bekannt.

Man kann auch Life-Patchen, wenn man irgendwelche "Hooks" vorsieht, wo man was "dranhängen" kann... aber das ist alles "Flickschusterei"...

Spasswolf · Beitrag von **Spasswolf** » 28.08.2006 19:05:55

Ich meinte das eher so, dass man den laufenden Kernel verändert, indem man direkt auf /dev/(k)mem schreibt.

nonsenz · Beitrag von **nonsenz** » 30.08.2006 11:36:24

hi spasswolf...

... also ich habe einiges dazu beim thema kernel-rootkits gesehen. allerdings
sind viele texte sehr oberflächlich. ans herz legen könnte ich dir nur einzelne
artikel aus dem phrack mag. ausgabe 58 [1], artikel 0x07 behandelt z.b. das thema.

allerdings kann man das echtzeit patchen unterbinden (durch patches

[2] ).

ciao
nons

[1] http://www.textfiles.com/magazines/PHRACK/PHRACK58
[2] http://www.grsecurity.net/

Spasswolf · Beitrag von **Spasswolf** » 30.08.2006 15:31:47

Danke, so etwas habe ich gesucht.