我发现这个小的 rootkit 源代码是作为 Linux 内核模块实现的。
https://github.com/mfontanini/Programs-Scripts/tree/master/rootkit
基本上,如您所见,它更改了file_operations
文件 inode 的结构并覆盖readdir
函数以隐藏自身以防止ls
和lsmod
。
那么,如何才能检测到这个rootkit呢?
答案1
查看 proc/kallsyms。它包含大部分内核符号,并随着 LKM 的添加而动态更新。