Linux 커널 모듈로 구현된 이 작은 루트킷 소스 코드를 발견했습니다.
https://github.com/mfontanini/Programs-Scripts/tree/master/rootkit
기본적으로 보시다시피 file_operations파일 inode의 구조를 변경하고 및 에서 readdir자신을 숨기도록 함수를 재정의합니다 .lslsmod
그렇다면 이 루트킷을 어떻게 탐지할 수 있습니까?
답변1
proc/kallsyms를 확인하세요. 여기에는 대부분의 커널 기호가 포함되어 있으며 LKM이 추가되면 동적으로 업데이트됩니다.