如何检测基于linux内核模块的rootkit?

如何检测基于linux内核模块的rootkit?

我发现这个小的 rootkit 源代码是作为 Linux 内核模块实现的。

https://github.com/mfontanini/Programs-Scripts/tree/master/rootkit

基本上,如您所见,它更改了file_operations文件 inode 的结构并覆盖readdir函数以隐藏自身以防止lslsmod

那么,如何才能检测到这个rootkit呢?

答案1

查看 proc/kallsyms。它包含大部分内核符号,并随着 LKM 的添加而动态更新。

相关内容