简介:近些年.Linux下出现了大量借助LKM技术实现的各种Rootkit,LKM技术也因其强大的内核修改及加载功能,得到了Hacker们的推崇。利用LKM可有效地实现文件隐藏、进程隐藏、网络连接隐藏等,但这种Rootkits极易检测,安全人员只需使用Ismod或通过/proc/modules命令即可枚举出内核下已加载模块信息。之后,针对LKM被检测的问题,出现了各种对抗技术,如模块隐藏技术,在内核态下劫持sys_query_modules系统调用,有效隐藏已加载的恶意模块RicardoOuesada提出的修改特定系统调用前7个字节,