使LKM rootkit再次可見。
例如,它涉及取得rootkit 的「show_module」函數的記憶體位址,並使用它來呼叫它,將其加回lsmod,從而可以刪除LKM rootkit。
我們可以使用/sys/ kernel /tracing/available_filter_functions_addrs在非常簡單的核心中取得函數位址,但是,它只在核心6.5x 及以上版本中可用。
另一種方法是掃描內核內存,然後再次將其添加到lsmod,以便將其刪除。
總而言之,這個LKM 濫用了具有再次可見功能lkm rootkit 的功能。
OBS:還有另一個刪除/解除LKM 根工具包的技巧,但它將在即將啟動的研究中。
下載Imperius