Ich habe diesen kleinen Rootkit-Quellcode gefunden, der als Linux-Kernelmodul implementiert ist.
https://github.com/mfontanini/Programs-Scripts/tree/master/rootkit
Wie Sie sehen, ändert es grundsätzlich die file_operationsStruktur des Datei-Inodes und überschreibt die readdirFunktion, um sich vor lsund zu verbergen lsmod.
Wie könnte dieses Rootkit in diesem Fall erkannt werden?
Antwort1
Sehen Sie sich proc/kallsyms an. Es enthält die meisten Kernelsymbole und wird dynamisch aktualisiert, wenn LKMs hinzugefügt werden.