原文链接:https://www.freebuf.com/articles/system/397481.html理论上讲,不存在毫无痕迹得Rootkit,因为如果毫无痕迹,攻击者就无法控制这个Rootkit,Rootkit的博弈,拼的就是谁对操作系统的底层了解更加深入。/proc/modules 隐藏当模块被装载进内核之后,其导出符号会变成内核公用符号表的一部分,可以直接通过 /proc/kallsyms 进行查看:同时我们可以通过 /proc/modules查看到我们的 rootkit:内核模块在内核当中被表示为一个 module结构体,当我们使用 insmod加载一个 LKM 时,实际上会调用到 init_module()系统调用创建一个 module结构体:struct module { enum module_state state; /* Member of list of modules */ struct list_head list;//...多个 module结构体之间组成一个双向链表,链表头部定义于 kernel/module/main.c中:LIST_HEAD(modules);当我们使用 lsmod显示已经装载的内核模块时,实际上会读取 /proc/mo
………………………………
