如果在入侵事件调查中，传统的工具完全失效了，该怎么办？当在对付入侵者已经加载的内核 模块时，就陷入了这种困境。由于从用户空间升级到了内核空间，LKM方式的入侵改变了以往使用的入侵响应的技术。一旦内核空间遭破坏，影响将覆盖到整个用 户空间，这样入侵者无须改动系统程序就能控制他们的行为。而用户即使将可信的工具包上传到被入侵的主机，这些工具也不再可信。本文将揭示恶意的内核模块 如何工作，并且给出一些我开发的对付此类入侵的工具。...详细

LKM内核Linux

在本篇文章里, 我们将看到各种不同的后门技术，特别是Linux的可装载内核模块(LKM)。 我们将会发现LKM后门比传统的后门程序更加复杂，更加强大，更不易于被发现。知道这些之后，我们可以制造我们自己的基于LKM的Rootkit程序，主要体现在TCP/IP层, 因为我们相信这是在系统管理员面前最好的隐藏后门的地方。介绍一下已经存在的后门技术, 然后和LKM技术相比较, 最后讨论我么的LKM程序的设计与实现。 ...详细

rootkitLinuxLKM