摘要
当前.Linux中已经存在的各种Rootkits,大都是借助可加载内核模块(LKM)来实现的.包括利用IDT实现系统调用的劫持技术来实现文件隐藏、进程隐藏、网络连接的隐藏及模块本身的隐藏等。但这种借助LKM实现的Rootkits,需要依赖操作系统内核模块的支持,若在目标机内核中并没有实现模块支持,那么这种Rootkits是无法加载到目标机中的。大家应该知道,在一台Linux计算机在编辑定制内核时,用户是可以选择是否添加可加载内核模块的支持的,当不选择此支持时,LKM是无效的。而且当前针对LKM实现的Rootkits已经很容易的被各种Rootkits检测工具检测出来,如完整性检测技术、针对攻击系统调用的检测技术等。
