有人可以简单地解释一下隧道是如何工作的吗?病毒如何将自己安装在中断处理程序链中以避免扫描程序?
问问题
209 次
1 回答
2
您指的是内核模式 Rootkit。当触发中断时,在为该中断定义的中断处理程序处继续执行。在 Linux 上,使用中断 80。rootkit 可以用自己的函数替换内核中断处理程序。
这种方法不再有效。几年前,Linux 的 LKM rootkit 已经发布。它们需要几个月的时间来开发,并且可以在几天内修补。目前唯一适用于 Windows 或 Linux 的 rootkit 是 bootkit,例如Stoned Bootkit。Userland rookits 也可以工作,但是它们很容易被发现。Tripwrie、rootkithunter 等...
于 2010-11-12T20:19:43.650 回答