什么时候使用哪个rootkit？

Question

根据我迄今为止的理解：

• 内核空间rootkit在ring0中运行，并使用诸如syscalls之类的技术。
• 用户空间rootkit在ring3中运行，并使用库注入等技术。
• rootkits都是以管理权限执行的。因此，攻击者将获得运行rootkit所需的必要信息。

然而，我感到困惑的是，何时人们会更喜欢使用内核空间rootkit或用户空间rootkit。作为内核空间rootkit具有更高的权限，为什么不每次只运行内核空间rootkit呢？

Answer 1

你可能对你瞄准的系统没有很高的特权。如果您没有ring 0或允许您修改内核的等效特权(例如，在支持时加载自定义的无符号内核模块)，那么您可能不得不将自己限制在用户空间rootkit上。仅仅因为你有根，并不意味着你可以得到0环，而且许多安全配置阻止根修改内核。

您可能更喜欢用户空间rootkit的另一个原因是，它不太可能崩溃或发生故障。内核rootkit通常只适用于一个特定的内核版本，对内核的任何更新都需要调整rootkit。此外，内核rootkit更有可能导致不稳定并使整个系统瘫痪。如果您不需要内核rootkit提供的功能强大的特性，就像syscall挂钩一样，您可以选择更稳定的选项，并在更广泛的系统上工作。

一个设计良好的用户空间rootkit在Debian上可能与Solaris (一个与Linux系统没有共同代码的UNIX )相同，但是一个内核rootkit (内核4.18.6 )如果尝试在CentOS上运行，即使内核版本完全相同，也可能不会加载。