使 LKM rootkit再次可见。
该工具是即将启动的 LKM rootkit 研究的一部分。
例如,它涉及获取 rootkit 的“show_module”函数的内存地址,并使用它来调用它,将其添加回 lsmod,从而可以删除 LKM rootkit。
我们可以使用/sys/ kernel /tracing/available_filter_functions_addrs在非常简单的内核中获取函数地址,但是,它只在内核6.5x 及以上版本中可用。
另一种方法是扫描内核内存,然后再次将其添加到 lsmod,以便将其删除。
总而言之,这个 LKM 滥用了具有再次可见功能 lkm rootkit 的功能。
OBS:还有另一个删除/解除 LKM 根工具包的技巧,但它将在即将启动的研究中。
下载 Imperius
