Rootkit 是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络连接(端口)等信息,比较多见到的是 Rootkit 一般都和木马、后门等其他恶意程序结合使用。
RootKit 分为用户态rootkit 和内核级 rootkit。内核级 rootkit 可分基于 LKM 的 rootkit(又细分为系统调用表修改类以及VFS层rootkit等)和非 LKM 的 rootkit(如 patch kernel等)。
Rootkit实现环境:Ubuntu20.04,kernel 版本为5.4.52
Rootkit工具简介:本工具主要为基于 LKM 实现的,包括使用 vfs 层隐藏文件和端口、进程摘链、模块摘链等原理,单独维持隐藏链表达到一次可隐藏多个文件、进程等效果,通过实现在系统调用表中 hook openat 系统调用来整合 rootkit 功能到 cat 命令中(plusls大佬实现的工具)。