Linuxカーネルモジュールで実装されたこの小さなルートキットソースコードが見つかりました。
https://github.com/mfontanini/Programs-Scripts/tree/master/rootkit
基本的に見てわかるように、ファイルfile_operationsinodeの構造を変更してからreaddir自分自身を隠すように関数をオーバーライドします。lslsmod
では、このルートキットをどのように検出できますか?
ベストアンサー1
proc/kallsymsをチェックしてください。これにはほとんどのカーネル記号が含まれており、LKM を追加すると動的に更新されます。