Zeppoo

Zeppoo TT_Rootkit sistem yüklü əgər mümkün aşkar edir.
Zeppoo da mümkün gizli vəzifələri, syscalls, bəzi bad rəmzləri, modulları, həmçinin gizli əlaqələri təsbit edir.
Bunun üçün, əsasən / dev / kmem birbaşa kernel yaddaş yoxlamaq, və mümkün / dev / mem istifadə edir.
Quraşdırma:
Zeppoo bir assembler göstərişi ilə interrupt descriptor masa əldə etmək üçün bir mikro lib (pico?) Istifadə edir, lakin biz birbaşa ulibzeppo.so adlı tərtib versiyası təmin
Siz öz versiyasını tərtib etmək istəyirsinizsə, sonra ilə tərtib paketi python-dəvəli yüklü lazımdır:
python setup.py build
Görselleştirme:
        ** Tapşırıqlar:
                ./zeppoo.py v vəzifələri
        ** Syscalls:
                ./zeppoo.py v syscalls
        ** Networks:
                ./zeppoo.py v şəbəkələr
Yoxlanılması:
        ** Tapşırıqlar:
                ./zeppoo.py c vəzifələri
        ** Networks:
                ./zeppoo.py c şəbəkələr
Fingerprint:
        ** Yarat:
                yaratmaq Faylı f ./zeppoo.py
        ** Yoxlanılması:
                ./zeppoo.py f Faylı check
Digər:
        ** (/ Dev / kmem) ismarıcları cihaz dəyişdirmək üçün:
                d Zarafat bir kənara
        ** (Sürətli) rəmzləri axtarmaq üçün mmap istifadə etmək üçün:
                -m
Nümunələr:
        ** / Dev / mem mmap istifadə edərək, vəzifələri Görselleştirme:
                ./zeppoo.py v vəzifələri -d / dev / mem m
        ** / Dev / hafiz istifadə barmaq izi olun:
                ./zeppoo.py f fayl yaratmaq -d / dev / mem
        ** / Dev / hafiz istifadə barmaq izi edin:
                ./zeppoo.py f FILE check -d / dev / mem
Bu Release Yenilikler: