Linux カーネル モジュールとして実装されたこの小さなルートキット ソース コードを見つけました。
https://github.com/mfontanini/Programs-Scripts/tree/master/rootkit
基本的には、ご覧のとおり、file_operationsファイルの inode から構造を変更し、関数を上書きして、自身をおよびreaddirから隠します。lslsmod
その場合、このルートキットをどうやって検出できるでしょうか?
答え1
proc/kallsyms を表示します。ほとんどのカーネル シンボルが含まれており、LKM が追加されると動的に更新されます。