fkie-cad/bpf-rootkit-workshop
GitHub: fkie-cad/bpf-rootkit-workshop
面向数字取证和安全分析的研讨会实践项目,教授如何检测和分析基于 eBPF 的 Linux Rootkit。
Stars: 15 | Forks: 2
# DFRWS EU 2023 研讨会:基于 eBPF 的 Linux Rootkit 的取证分析
这是我们的同事 [Martin Clauß](https://github.com/martinclauss/) 和 [Valentin Obst](https://github.com/vobst) 在 DFRWS EU 2023 会议上举办的研讨会 [_基于 eBPF 的 Linux Rootkit 的取证分析_](https://dfrws.org/forensic-analysis-of-ebpf-based-linux-rootkits/) 的相关材料。我们发布了一篇涵盖部分材料的博客文章,可以在[这里](https://lolcads.github.io/posts/2023/12/bpf_memory_forensics_with_volatility3/)查看,研讨会中演示的 Volatility 3 插件可以在[这里](https://github.com/vobst/BPFVol3)获取。
## 结构
本研讨会分为三个部分:介绍、实时取证和内存取证。我们不要求您具备关于 BPF 子系统的任何先验知识,因此在第一部分中介绍了必要的前置条件。第二部分涵盖了从运行在被调查系统上的 shell 中发现 BPF 恶意软件的工具和技术。在第三部分中,我们讨论了分析内存镜像以查找 BPF 子系统中恶意活动的方法。幻灯片位于每个子目录的根目录下。
每个部分都包含几个实践练习。解决问题所需的所有材料都可以在 `materials` 文件夹中找到,解决方案可以在 `solutions` 文件夹中找到。
## 下载
某些研讨会材料不适合存储在 git 仓库中。以下是从外部来源下载它们的链接。
### 虚拟机
我们在幻灯片中提到了两台虚拟机。
- Kali Linux 虚拟机包含了这些材料以及所有必需的第三方工具。如果您的操作系统不支持 BPF(例如,您使用了加固的 Linux 内核或其他任何操作系统,如 BSD、Mac、Windows...),可以使用它来完成本次研讨会。[下载](https://uni-bonn.sciebo.de/s/8r2QKoJccLQLeyo)
- Ubuntu 虚拟机在实时取证练习中使用。[下载](https://uni-bonn.sciebo.de/s/8r2QKoJccLQLeyo)
### 内存镜像与符号文件
在内存取证部分,有多个练习需要您分析内存镜像。[下载](https://owncloud.fraunhofer.de/index.php/s/rkgQcqA6B1jW939)
要使用 Volatility 分析它们,您还需要相应的符号文件。[下载](https://owncloud.fraunhofer.de/index.php/s/the1K7tlAhvNkBb)
### 数据包捕获
部分练习涉及 pcap 文件的分析。[下载](https://owncloud.fraunhofer.de/index.php/s/9xuFrFtZNCmZCz8)
标签:DAST, Docker镜像, Linux Rootkit, SecList, Volatility 3, 内存取证, 安全培训, 客户端加密, 恶意软件分析, 数字取证, 自动化脚本, 逆向工具