我正在检测内核级别的 rootkit,并选择了 Adore-Ng 作为我的第一个测试 rootkit。在了解了这个 rootkit 如何在 Linux 内核(2.4、2.6 版本)中隐藏自己和其他进程之后,我现在想知道它是如何加载到内核中的。
具体来说,我想知道是否
1. 它调用 Linux 内核中任何已经存在的 API或
2. 它是否有任何硬编码的汇编指令,一旦它被编译,它就会被加载到内核中?
我浏览了 Adore-Ng 的源代码,但在这个方向上找不到任何东西,只能看到它是如何实现隐藏的目标的。
谁能告诉/建议我如何找到它的加载行为?谢谢。
Adore rootkit 的核心是一个恶意模块,因此要将其加载到内核中,您首先需要 root 访问权限,然后运行 insmod(或 modinfo)。另一种加载 Adore 的方法是感染受信任的内核模块,如 Phrack 卷 0x0b,问题 0x3d 中所述。它不会像前一种方式那样隐秘,因为不会调用清洁器模块。由于您浏览了源代码,我相信一旦 Adore 模块感染了合法模块,您就有能力修改源代码以调用清洁模块。(确保你也没有留下任何模块感染的痕迹;清洁工不会把它捡起来)。任何称职的管理员都会使用签名模块,所以不要指望这些方法可以在 2.6 主线之后的生产内核上工作。