taibeihacker
Moderator
A使LKM Rootkit再次可见。
我们可以使用/sys/bernel/tracing/oparive_filter_functions_addrs中的非常简单的内核中获得函数地址,但是,仅可从内核6.5倍获得。
一种替代方法是扫描内核内存,然后再次将其添加到LSMOD,以便可以将其删除。
因此,总而言之,该LKM滥用LKM rootkit的功能,该功能再次可见。
OBS:还有另一个删除/切割LKM rootkit的技巧,但它将在研究中进行。
This tool is part of research on LKM rootkits that will be launched.
,例如获取rootkit的“ show_module”函数的内存地址,并使用它来调用它,将其添加回LSMOD,从而可以删除LKM rootkit。我们可以使用/sys/bernel/tracing/oparive_filter_functions_addrs中的非常简单的内核中获得函数地址,但是,仅可从内核6.5倍获得。
一种替代方法是扫描内核内存,然后再次将其添加到LSMOD,以便可以将其删除。
因此,总而言之,该LKM滥用LKM rootkit的功能,该功能再次可见。
OBS:还有另一个删除/切割LKM rootkit的技巧,但它将在研究中进行。