Disk-Forensik/ Sonstige/ Kerneldaten

Aus Wikibooks

Der Linux Kernel bietet die Möglichkeit Module zu laden und wieder zu entladen. Dies ermöglicht eine Erweiterung des Systems dynamisch zur Laufzeit ohne einen Neustart des Systems zu benötigen. Kernelmodule werden für Gerätetreiber, Dateisystemtreiber aber auch für Malware, wie Rootkits, Backdoors und Keylogger verwendet. Ein potenzieller Angreifer lädt die von ihm benötigten Module in den Kernel. Da ein Angreifer unentdeckt bleiben soll, werden derartige Kernelmodule mit Hilfe von Rootkits versteckt geladen. Genau genommen sind Kernelmodule, die sich selbst und jegliche Spuren des Angreifers verstecken, Teil eines Rootkits.

Es ist schwierig und nicht immer möglich einen Nachweis zu erbringen, ob ein Kernelmodul geladen oder entladen wurde. Sobald ein Fehler beim Laden eines Moduls auftritt oder das Modul eine Statusmeldung an die Logging Facility übergibt, wird ein Logeintrag in den Dateien /var/log/messages und /var/log/dmesg erzeugt. Das simple Laden und Entladen von Modulen in den Kernel wird hier nicht aufgezeichnet. Am laufenden System ist es möglich das Tool lsmod zu verwenden. Bei dessen Verwendung werden die Daten aus der Datei /proc/modules ausgewertet und optisch aufbereitet. [man lsmod]