[U-16] /dev 에 존재하지 않는 device 파일 점검

조치 시 영향

일반적인 경우 영향 없음

​

윈도우는 장비를 드라이버 및 레지스터리

리눅스는 파일로 관리한다. 그래서 충돌이 안일어남

파일 단위로 장비를 관리하기 때문에 뭍혀가는 악성코드 /dev 디렉터리는 엔지니어들이 잘 안거드림 해커들은 여기다가 장비인듯 숨겨놓음

리눅스는 그걸 방지 하기위해 메이져(입력장치, 출력장치 등), 마이너(외부저장, 내부저장 등) 번호를 구분해놓음

일반파일은 저장해도 메이져, 마이너 번호가 안붙는다.

장비파일들한테만 붙어있는거임

 

디바이스 파일들은 c나 b가 붙나봄

 

 

​

※ 목록 확인할때 b가 아닌 -나 d가 존재할 때 /dev에 존재하지 않는 device파일이라고 취약하다고 봄

​

brw-rw---- 1 root disk 253, 2 Sep 27 14:52 /dev/dm-2

brw-rw---- 1 root disk 1, 15 Sep 27 14:52 /dev/ram15

=> dm-X : 스토리지 디스크 논리 매핑 디바이스 파일

ramXX : ram disk 디바이스 파일로 커널에 의해 할당되어 있음(확인방법 lvndiskscan)

 

 

결국 c나 b나 어쩌고가  붙고 메이저 마이너 번호가 있는게 REAL 디바이스 파일.

앞에 - 만 붙음>> 정상디바이스 파일이 아니라 메이저 마이너 번호가 없음 : 비정상적인 디바이스 파일. 

 

 

실존하지 않는 디바이스 파일이고, 사유는 아래와 같음

 

1. 전에 설치했었다가 삭제한 디바이스

2. 해커가 심어놓은 악성파일

3. 가상 디바이스( /dev/null, /dev/zero, /dev/random )>> 가상 장치나 소프트웨어. 뭐 쓸데가있어서 만들어지나봄. 이런거는 검토 맡기면 됨.

 

 

그래서 2번일 수 있어서 확인하고 지우면 됨.