Encontrei este pequeno código-fonte de rootkit implementado como um módulo do kernel Linux.
https://github.com/mfontanini/Programs-Scripts/tree/master/rootkit
Basicamente, como você pode ver, ele altera a file_operationsestrutura do inode do arquivo e sobrescreve a readdirfunção para se ocultar de lse lsmod.
Nesse caso, como seria possível detectar esse rootkit?
Responder1
Veja proc/kallsyms. Ele contém a maioria dos símbolos do kernel e é atualizado dinamicamente à medida que LKMs são adicionados.