Detektor utajovaných prostředků pro GNU/Linux

Abstract

Tato práce se zabývá detekováním skrytých prostředků v prostředí operačních systémů GNU/Linux. Současně analyzuje nástroje, které toto skrývání provádějí (tzv. rootkity). Práce je rozdělena na teoretickou a praktickou část. Teoretická část se zaměřuje především na způsob správy a reprezentace prostředků v operačním systému, režimy běhu a systémová volání. Praktická část se zabývá návrhem a implementací obecného detektoru, kterému jsou jednotlivé metody detekce předány formou zásuvných modulů. Některé z těchto metod jsou realizovány jako moduly jádra operačního systému. Účinnost detektoru je porovnána oproti reálným rootkitům.The main goal of this thesis was to detect hide resources in GNU/Linux operating systems and analyse tools so called rootkits, which are used to hide system resources. This thesis is devided into two parts, theoretical and practical one. Theoretic part focusses on resource managment, representation, privilege levels and system calls. Practical part covers design and implementation of an abstract detector. Each new detection method is implemented as a plugin. Some of those methods are realized as linux kernel modules. The usability of the detector is compared against real rootkits.