アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SucKIT

とりあえず検出したと報告されているのは SucKIT なので、ググルとやはり?というか当然?あの方の資料がひっかかる。

Kernel Rootkit
http://www.port139.co.jp/cakeoff/030823/T030823.pdf

この資料のP23に SucKIT の解説があるのですが、リモートバックドアって書いてある、まぁ当然と言えば当然ですやね。
さて、ここで netsta コマンドを実行したところでバックドアポートが表示されるはずもないので、argus(raコマンドでかな?) で該当時刻以降にどいう通信があったのか表示させてみると手がかりが得られるかもしれませんね。
ん?ひょっとして、こいう場合には ramon で Matrix とか表示させるほうが効率がよいのかな?