Encontré este pequeño código fuente de rootkit implementado como un módulo del kernel de Linux.
https://github.com/mfontanini/Programs-Scripts/tree/master/rootkit
Básicamente, como puede ver, cambia la file_operationsestructura del archivo inodo y sobrescribe la readdirfunción para ocultarse de lsy lsmod.
En ese caso, ¿cómo sería posible detectar este rootkit?
Respuesta1
Ver proc/kallsyms. Contiene la mayoría de los símbolos del kernel y se actualiza dinámicamente a medida que se agregan LKM.