后门技术和Linux LKM Rootkit详解(3)

7. 隐藏LKM本身。一个优秀的LKM程序必须很好地隐藏它自己。系统里的LKM是用单向链表连接起来的, 为了隐藏LKM本身我们必须把它从链表中移走以至于lsmod这样的命令不能把它显示出来。

8. 隐藏符号表。通常的LKM中的函数将会被导出以至于其他模块可以使用它。因为我们是入侵者, 所以隐藏这些符号是必须的。幸运的是, 有一个宏可以供我们使用："EXPORT_NO_SYMBOLS"。 把这个宏放在LKM的最后可以防止任何符号的输出。

经验和结论

做个LKM程序是一个非常有趣而又非常危险的事情。有趣的是你可以在系统内核中作你想做的事情。 但这也是非常危险的, 它可以使你的服务陷入混乱, 破 坏你的数据, 并且可以在你的系统里做任何怪异的事情。 我们的经验有: 在安装了LKM程序几天后我们的网络层不工作了, 只工作五分钟就要重起一 次; 无论何时发送数据包, 象这些应用程序 telnet, netscape, pine都将会产生core dump; 在安装LKM程序后立马重 起。所以, 就象标题所说的那样，后果自负!

值得一提的是写一个LKM程序你可以更好地了解到系统是如何工作的。例如, /proc文件系统有很好的特性。因为LKM程序工作在内核空间, 调试 LKM程序就变得比一般程序要困难。 使用"printk"函数可以解决一些问题。但这不是最好的解决方法。通过注册在/proc文件系统里的我们的文件 和目录的数据结构, 我们可以访问到任何时间的内核空间的信息。我们甚至可以通过写这个文件来修改内存, 尽管一般不建议这样做。

从经验来看, 很明显的LKM程序可以在Linux上安装,一旦系统被攻破并且被安装了LKM的rootkit程序, 这就变的很难被发现了。因为甚至操 作系统都不能信任了。如果机器不允许关机，唯一的发现入侵者的方法是通过分析在网络其他机器上的sniffer结果。 或者, 利用其他的操作系统来监测 硬盘。所有这两个方法都很难去做, 因为你不知道你要找什么。 所以,所以最好的安全措施就是防止被攻击者入侵系统。

【编辑推荐】

【责任编辑：faya TEL：（010）68476606】

原文：后门技术和Linux LKM rootkit详解 返回操作系统首页

以上就是关于rootkit的全部内容，相信你一定会非常满意。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shenmilingyu/article-2373-3.html