linuxlkmmake

1. linux系统平台下病毒种类主要有哪些

Linux系统平台下的病毒主要分为以下4类：
1、可执行文件型病毒，这个主要就回是指能够寄生在答文件中的以文件为主要感染对象的病毒。
2、蠕虫（worm）病毒，Linux平台下的蠕虫病毒极为猖獗，像利用系统漏洞进行传播的ramen、lion、Slapper等，这些病毒都感染了大量的Linux系统，造成了巨大的损失。
3、脚本病毒，这样的多为使用shell脚本语言编写的病毒，这类病毒编写较为简单，但破坏力却同样惊人，像以.sh结尾的脚本文件，一个短短数十行的shell脚本就可以在短时间内感染硬盘中所有的脚本文件。
4、后门程序，从增加系统超级用户帐号的简单后门，到利用系统服务加载、共享库文件注射、rootkit工具包，甚至可以装载内核模块（LKM）而产生的后门，Linux平台下的后门技术发展非常成熟，隐蔽性强，难以清除，已经成为Linux系统管理员极为头疼的问题。

2. 如何获得Linux系统的内置模块和设备驱动列表

lsmod 列出所有已载入系统的模块。insmod 与 modprobe则是装载模块用的。 modprobe -l 我们能查看到我们所需要的模块，然后根据我们的需要来挂载；其实modprobe -l 读取的模块列表就位于 /lib/moles/'uname -r' 目录中

3. 如何提高linux服务器的安全策略

安全是IT行业一个老生常谈的话题了，处理好信息安全问题已变得刻不容缓。做为运维人员，就必须了解一些安全运维准则，同时，要保护自己所负责的业务，首先要站在攻击者的角度思考问题，修补任何潜在的威胁和漏洞。主要分五部分展开：账户和登录安全账户安全是系统安全的第一道屏障，也是系统安全的核心，保障登录账户的安全，在一定程度上可以提高服务器的安全级别，下面重点介绍下Linux系统登录账户的安全设置方法。
1、删除特殊的账户和账户组 Linux提供了各种不同角色的系统账号，在系统安装完成后，默认会安装很多不必要的用户和用户组，如果不需要某些用户或者组，就要立即删除它，因为账户越多，系统就越不安全，很可能被黑客利用，进而威胁到服务器的安全。
Linux系统中可以删除的默认用户和组大致有如下这些：
可删除的用户，如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等。
可删除的组，如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等。
2、关闭系统不需要的服务Linux在安装完成后，绑定了很多没用的服务，这些服务默认都是自动启动的。对于服务器来说，运行的服务越多，系统就越不安全，越少服务在运行，安全性就越好，因此关闭一些不需要的服务，对系统安全有很大的帮助。具体哪些服务可以关闭，要根据服务器的用途而定，一般情况下，只要系统本身用不到的服务都认为是不必要的服务。例如：某台Linux服务器用于www应用，那么除了httpd服务和系统运行是必须的服务外，其他服务都可以关闭。下面这些服务一般情况下是不需要的，可以选择关闭： anacron、auditd、autofs、avahi-daemon、avahi-dnsconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv
3、密码安全策略在Linux下，远程登录系统有两种认证方式：密码认证和密钥认证。密码认证方式是传统的安全策略，对于密码的设置，比较普遍的说法是：至少6个字符以上，密码要包含数字、字母、下划线、特殊符号等。设置一个相对复杂的密码，对系统安全能起到一定的防护作用，但是也面临一些其他问题，例如密码暴力破解、密码泄露、密码丢失等，同时过于复杂的密码对运维工作也会造成一定的负担。密钥认证是一种新型的认证方式，公用密钥存储在远程服务器上，专用密钥保存在本地，当需要登录系统时，通过本地专用密钥和远程服务器的公用密钥进行配对认证，如果认证成功，就成功登录系统。这种认证方式避免了被暴力破解的危险，同时只要保存在本地的专用密钥不被黑客盗用，攻击者一般无法通过密钥认证的方式进入系统。因此，在Linux下推荐用密钥认证方式登录系统，这样就可以抛弃密码认证登录系统的弊端。Linux服务器一般通过SecureCRT、putty、Xshell之类的工具进行远程维护和管理，密钥认证方式的实现就是借助于SecureCRT软件和Linux系统中的SSH服务实现的。
4、合理使用su、sudo命令su命令：是一个切换用户的工具，经常用于将普通用户切换到超级用户下，当然也可以从超级用户切换到普通用户。为了保证服务器的安全，几乎所有服务器都禁止了超级用户直接登录系统，而是通过普通用户登录系统，然后再通过su命令切换到超级用户下，执行一些需要超级权限的工作。通过su命令能够给系统管理带来一定的方便，但是也存在不安全的因素，例如：系统有10个普通用户，每个用户都需要执行一些有超级权限的操作，就必须把超级用户的密码交给这10个普通用户，如果这10个用户都有超级权限，通过超级权限可以做任何事，那么会在一定程度上对系统的安全造成了威协。因此su命令在很多人都需要参与的系统管理中，并不是最好的选择，超级用户密码应该掌握在少数人手中，此时sudo命令就派上用场了。sudo命令：允许系统管理员分配给普通用户一些合理的“权利”，并且不需要普通用户知道超级用户密码，就能让他们执行一些只有超级用户或其他特许用户才能完成的任务。比如：系统服务重启、编辑系统配置文件等，通过这种方式不但能减少超级用户登录次数和管理时间，也提高了系统安全性。因此，sudo命令相对于权限无限制性的su来说，还是比较安全的，所以sudo也被称为受限制的su，另外sudo也是需要事先进行授权认证的，所以也被称为授权认证的su。
sudo执行命令的流程是：将当前用户切换到超级用户下，或切换到指定的用户下，然后以超级用户或其指定切换到的用户身份执行命令，执行完成后，直接退回到当前用户，而这一切的完成要通过sudo的配置文件/etc/sudoers来进行授权。
sudo设计的宗旨是：赋予用户尽可能少的权限但仍允许它们完成自己的工作，这种设计兼顾了安全性和易用性，因此，强烈推荐通过sudo来管理系统账号的安全，只允许普通用户登录系统，如果这些用户需要特殊的权限，就通过配置/etc/sudoers来完成，这也是多用户系统下账号安全管理的基本方式。
5、删减系统登录欢迎信息 系统的一些欢迎信息或版本信息，虽然能给系统管理者带来一定的方便，但是这些信息有时候可能被黑客利用，成为攻击服务器的帮凶，为了保证系统的安全，可以修改或删除某些系统文件，需要修改或删除的文件有4个，分别是：/etc/issue、/etc/issue.net、/etc/redhat-release和/etc/motd。/etc/issue和/etc/issue.net文件都记录了操作系统的名称和版本号，当用户通过本地终端或本地虚拟控制台等登录系统时，/etc/issue的文件内容就会显示，当用户通过ssh或telnet等远程登录系统时，/etc/issue.net文件内容就会在登录后显示。在默认情况下/etc/issue.net文件的内容是不会在ssh登录后显示的，要显示这个信息可以修改/etc/ssh/sshd_config文件，在此文件中添加如下内容即可：Banner /etc/issue.net其实这些登录提示很明显泄漏了系统信息，为了安全起见，建议将此文件中的内容删除或修改。/etc/redhat-release文件也记录了操作系统的名称和版本号，为了安全起见，可以将此文件中的内容删除/etc/motd文件是系统的公告信息。每次用户登录后，/etc/motd文件的内容就会显示在用户的终端。通过这个文件系统管理员可以发布一些软件或硬件的升级、系统维护等通告信息，但是此文件的最大作用就、是可以发布一些警告信息，当黑客登录系统后，会发现这些警告信息，进而产生一些震慑作用。看过国外的一个报道，黑客入侵了一个服务器，而这个服务器却给出了欢迎登录的信息，因此法院不做任何裁决。
远程访问和认证安全
1、远程登录取消telnet而采用SSH方式 telnet是一种古老的远程登录认证服务，它在网络上用明文传送口令和数据，因此别有用心的人就会非常容易截获这些口令和数据。而且，telnet服务程序的安全验证方式也极其脆弱，攻击者可以轻松将虚假信息传送给服务器。现在远程登录基本抛弃了telnet这种方式，而取而代之的是通过SSH服务远程登录服务器。
2、合理使用Shell历史命令记录功能 在Linux下可通过history命令查看用户所有的历史操作记录，同时shell命令操作记录默认保存在用户目录下的.bash_history文件中，通过这个文件可以查询shell命令的执行历史，有助于运维人员进行系统审计和问题排查，同时，在服务器遭受黑客攻击后，也可以通过这个命令或文件查询黑客登录服务器所执行的历史命令操作，但是有时候黑客在入侵服务器后为了毁灭痕迹，可能会删除.bash_history文件，这就需要合理的保护或备份.bash_history文件。
3、启用tcp_wrappers防火墙Tcp_Wrappers是一个用来分析TCP/IP封包的软件，类似的IP封包软件还有iptables。Linux默认都安装了Tcp_Wrappers。作为一个安全的系统，Linux本身有两层安全防火墙，通过IP过滤机制的iptables实现第一层防护。iptables防火墙通过直观地监视系统的运行状况，阻挡网络中的一些恶意攻击，保护整个系统正常运行，免遭攻击和破坏。如果通过了第一层防护，那么下一层防护就是tcp_wrappers了。通过Tcp_Wrappers可以实现对系统中提供的某些服务的开放与关闭、允许和禁止，从而更有效地保证系统安全运行。

文件系统安全
1、锁定系统重要文件系统运维人员有时候可能会遇到通过root用户都不能修改或者删除某个文件的情况，产生这种情况的大部分原因可能是这个文件被锁定了。在Linux下锁定文件的命令是chattr，通过这个命令可以修改ext2、ext3、ext4文件系统下文件属性，但是这个命令必须有超级用户root来执行。和这个命令对应的命令是lsattr，这个命令用来查询文件属性。对重要的文件进行加锁，虽然能够提高服务器的安全性，但是也会带来一些不便。例如：在软件的安装、升级时可能需要去掉有关目录和文件的immutable属性和append-only属性，同时，对日志文件设置了append-only属性，可能会使日志轮换(logrotate)无法进行。因此，在使用chattr命令前，需要结合服务器的应用环境来权衡是否需要设置immutable属性和append-only属性。另外，虽然通过chattr命令修改文件属性能够提高文件系统的安全性，但是它并不适合所有的目录。chattr命令不能保护/、/dev、/tmp、/var等目录。根目录不能有不可修改属性，因为如果根目录具有不可修改属性，那么系统根本无法工作：/dev在启动时，syslog需要删除并重新建立/dev/log套接字设备，如果设置了不可修改属性，那么可能出问题；/tmp目录会有很多应用程序和系统程序需要在这个目录下建立临时文件，也不能设置不可修改属性；/var是系统和程序的日志目录，如果设置为不可修改属性，那么系统写日志将无法进行，所以也不能通过chattr命令保护。
2、文件权限检查和修改不正确的权限设置直接威胁着系统的安全，因此运维人员应该能及时发现这些不正确的权限设置，并立刻修正，防患于未然。下面列举几种查找系统不安全权限的方法。
（1）查找系统中任何用户都有写权限的文件或目录
查找文件：find / -type f -perm -2 -o -perm -20 |xargs ls -al查找目录：find / -type d -perm -2 -o -perm -20 |xargs ls –ld
（2）查找系统中所有含“s”位的程序
find / -type f -perm -4000 -o -perm -2000 -print | xargs ls –al
含有“s”位权限的程序对系统安全威胁很大，通过查找系统中所有具有“s”位权限的程序，可以把某些不必要的“s”位程序去掉，这样可以防止用户滥用权限或提升权限的可能性。
（3）检查系统中所有suid及sgid文件
find / -user root -perm -2000 -print -exec md5sum {} \;find / -user root -perm -4000 -print -exec md5sum {} \;
将检查的结果保存到文件中，可在以后的系统检查中作为参考。
（4）检查系统中没有属主的文件
find / -nouser -o –nogroup
没有属主的孤儿文件比较危险，往往成为黑客利用的工具，因此找到这些文件后，要么删除掉，要么修改文件的属主，使其处于安全状态。
3、/tmp、/var/tmp、/dev/shm安全设定在Linux系统中，主要有两个目录或分区用来存放临时文件，分别是/tmp和/var/tmp。存储临时文件的目录或分区有个共同点就是所有用户可读写、可执行，这就为系统留下了安全隐患。攻击者可以将病毒或者木马脚本放到临时文件的目录下进行信息收集或伪装，严重影响服务器的安全，此时，如果修改临时目录的读写执行权限，还有可能影响系统上应用程序的正常运行，因此，如果要兼顾两者，就需要对这两个目录或分区就行特殊的设置。/dev/shm是Linux下的一个共享内存设备，在Linux启动的时候系统默认会加载/dev/shm，被加载的/dev/shm使用的是tmpfs文件系统，而tmpfs是一个内存文件系统，存储到tmpfs文件系统的数据会完全驻留在RAM中，这样通过/dev/shm就可以直接操控系统内存，这将非常危险，因此如何保证/dev/shm安全也至关重要。对于/tmp的安全设置，需要看/tmp是一个独立磁盘分区，还是一个根分区下的文件夹，如果/tmp是一个独立的磁盘分区，那么设置非常简单，修改/etc/fstab文件中/tmp分区对应的挂载属性，加上nosuid、noexec、nodev三个选项即可，修改后的/tmp分区挂载属性类似如下：LABEL=/tmp /tmp ext3 rw,nosuid,noexec,nodev 0 0 其中，nosuid、noexec、nodev选项，表示不允许任何suid程序，并且在这个分区不能执行任何脚本等程序，并且不存在设备文件。在挂载属性设置完成后，重新挂载/tmp分区，保证设置生效。对于/var/tmp，如果是独立分区，安装/tmp的设置方法是修改/etc/fstab文件即可；如果是/var分区下的一个目录，那么可以将/var/tmp目录下所有数据移动到/tmp分区下，然后在/var下做一个指向/tmp的软连接即可。也就是执行如下操作：
[root@server ~]# mv /var/tmp/* /tmp[root@server ~]# ln -s /tmp /var/tmp
如果/tmp是根目录下的一个目录，那么设置稍微复杂，可以通过创建一个loopback文件系统来利用Linux内核的loopback特性将文件系统挂载到/tmp下，然后在挂载时指定限制加载选项即可。一个简单的操作示例如下：
[root@server ~]# dd if=/dev/zero of=/dev/tmpfs bs=1M count=10000[root@server ~]# mke2fs -j /dev/tmpfs[root@server ~]# cp -av /tmp /tmp.old[root@server ~]# mount -o loop,noexec,nosuid,rw /dev/tmpfs /tmp[root@server ~]# chmod 1777 /tmp[root@server ~]# mv -f /tmp.old/* /tmp/[root@server ~]# rm -rf /tmp.old
最后，编辑/etc/fstab，添加如下内容，以便系统在启动时自动加载loopback文件系统：
/dev/tmpfs /tmp ext3 loop,nosuid,noexec,rw 0 0
Linux后门入侵检测工具rootkit是Linux平台下最常见的一种木马后门工具，它主要通过替换系统文件来达到入侵和和隐蔽的目的，这种木马比普通木马后门更加危险和隐蔽，普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强，对系统的危害很大，它通过一套工具来建立后门和隐藏行迹，从而让攻击者保住权限，以使它在任何时候都可以使用root权限登录到系统。rootkit主要有两种类型：文件级别和内核级别，下面分别进行简单介绍。文件级别的rootkit一般是通过程序漏洞或者系统漏洞进入系统后，通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后，合法的文件被木马程序替代，变成了外壳程序，而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、、find、netstat等，其中login程序是最经常被替换的，因为当访问Linux时，无论是通过本地登录还是远程登录，/bin/login程序都会运行，系统将通过/bin/login来收集并核对用户的账号和密码，而rootkit就是利用这个程序的特点，使用一个带有根权限后门密码的/bin/login来替换系统的/bin/login，这样攻击者通过输入设定好的密码就能轻松进入系统。此时，即使系统管理员修改root密码或者清除root密码，攻击者还是一样能通过root用户登录系统。攻击者通常在进入Linux系统后，会进行一系列的攻击动作，最常见的是安装嗅探器收集本机或者网络中其他服务器的重要数据。在默认情况下，Linux中也有一些系统文件会监控这些工具动作，例如ifconfig命令，所以，攻击者为了避免被发现，会想方设法替换其他系统文件，常见的就是ls、ps、ifconfig、、find、netstat等。如果这些文件都被替换，那么在系统层面就很难发现rootkit已经在系统中运行了。这就是文件级别的rootkit，对系统维护很大，目前最有效的防御方法是定期对系统重要文件的完整性进行检查，如果发现文件被修改或者被替换，那么很可能系统已经遭受了rootkit入侵。检查件完整性的工具很多，常见的有Tripwire、 aide等，可以通过这些工具定期检查文件系统的完整性，以检测系统是否被rootkit入侵。内核级rootkit是比文件级rootkit更高级的一种入侵方式，它可以使攻击者获得对系统底层的完全控制权，此时攻击者可以修改系统内核，进而截获运行程序向内核提交的命令，并将其重定向到入侵者所选择的程序并运行此程序，也就是说，当用户要运行程序A时，被入侵者修改过的内核会假装执行A程序，而实际上却执行了程序B。内核级rootkit主要依附在内核上，它并不对系统文件做任何修改，因此一般的检测工具很难检测到它的存在，这样一旦系统内核被植入rootkit，攻击者就可以对系统为所欲为而不被发现。目前对于内核级的rootkit还没有很好的防御工具，因此，做好系统安全防范就非常重要，将系统维持在最小权限内工作，只要攻击者不能获取root权限，就无法在内核中植入rootkit。
1、rootkit后门检测工具chkrootkit chkrootkit是一个Linux系统下查找并检测rootkit后门的工具，它的官方址:http://www.chkrootkit.org/。 chkrootkit没有包含在官方的CentOS源中，因此要采取手动编译的方法来安装，不过这种安装方法也更加安全。chkrootkit的使用比较简单，直接执行chkrootkit命令即可自动开始检测系统。下面是某个系统的检测结果：
[root@server chkrootkit]# /usr/local/chkrootkit/chkrootkitChecking `ifconfig’… INFECTEDChecking `ls’… INFECTEDChecking `login’… INFECTEDChecking `netstat’… INFECTEDChecking `ps’… INFECTEDChecking `top’… INFECTEDChecking `sshd’… not infectedChecking `syslogd’… not tested
从输出可以看出，此系统的ifconfig、ls、login、netstat、ps和top命令已经被感染。针对被感染rootkit的系统，最安全而有效的方法就是备份数据重新安装系统。chkrootkit在检查rootkit的过程中使用了部分系统命令，因此，如果服务器被黑客入侵，那么依赖的系统命令可能也已经被入侵者替换，此时chkrootkit的检测结果将变得完全不可信。为了避免chkrootkit的这个问题，可以在服务器对外开放前，事先将chkrootkit使用的系统命令进行备份，在需要的时候使用备份的原始系统命令让chkrootkit对rootkit进行检测。
2、rootkit后门检测工具RKHunter RKHunter是一款专业的检测系统是否感染rootkit的工具，它通过执行一系列的脚本来确认服务器是否已经感染rootkit。在官方的资料中，RKHunter可以作的事情有：MD5校验测试，检测文件是否有改动
检测rootkit使用的二进制和系统工具文件 检测特洛伊木马程序的特征码 检测常用程序的文件属性是否异常 检测系统相关的测试 检测隐藏文件 检测可疑的核心模块LKM 检测系统已启动的监听端口
在Linux终端使用rkhunter来检测，最大的好处在于每项的检测结果都有不同的颜色显示，如果是绿色的表示没有问题，如果是红色的，那就要引起关注了。另外，在执行检测的过程中，在每个部分检测完成后，需要以Enter键来继续。如果要让程序自动运行，可以执行如下命令：
[root@server ~]# /usr/local/bin/rkhunter –check –skip-keypress
同时，如果想让检测程序每天定时运行，那么可以在/etc/crontab中加入如下内容：
30 09 * * * root /usr/local/bin/rkhunter –check –cronjob
这样，rkhunter检测程序就会在每天的9:30分运行一次。服务器遭受攻击后的处理过程安全总是相对的，再安全的服务器也有可能遭受到攻击。作为一个安全运维人员，要把握的原则是：尽量做好系统安全防护，修复所有已知的危险行为，同时，在系统遭受攻击后能够迅速有效地处理攻击行为，最大限度地降低攻击对系统产生的影响。

4. linux下应用程序和内核驱动程序间的数据交换能否用memcpy完成为什么求大师帮忙解答下

在LKM下，也就是在内核态，是可以访问用户地址空间的。也就是在LKM中你可以用memcpy，strcpy之类的实现……

在用户态是不能访问 内核地址空间的，所以……

5. 求大神 讲解 linux内核编程 与 linux kernel mole 编程是一个概念吗有什么区别

确认的说，不是一个概念！

首先，LKM（linux kernel mole）是作为一个程序模块被加载到内回核运行的，它的特殊答之处就表现在很灵活，可加载，可卸载，但它运行的是在内核提供的上下文之中，所以和内核的程序又是一样的，一样的环境，函数，数据结构……

但体现在编程上，linux内核编程你在内核源码的基础上增删查改，然后你得重新编译出一个新的内核，才能加载，运行……

而LKM编程，你只需要写成一个个的模块，然后make，insmod就行了！

6. 怎么检查可疑的核心模组（LKM/KLD）

Linux的核心功能具有可外挂的特性，也就是Loadable Kernel Mole, LKM 。而我们也晓得，系统能作什么是由核心来决定的。因此，恶意程式当然有可能藉由载入核心模组来作怪！所以啰，rkhunter也会分析可疑的核心模组。( 在Linux上面，我们称核心模组为LKM，不过，在BSD系列的系统上面，他们称为Dynamic Kernel Linker, KLD。

7. 什么是rootkit技术，如何利用

在我们获得了对目标的控制权后，还想保持这种控制权限，于是就出现了木马后门，Rootkit之类的保护权限的手段。首先来说一下我们常见的应用层次的木马后门，比如我们常见的远程控制类的软件，像国外的Sub7,VNC,netbus,国内的冰河，灰鸽子，黑洞等等，这些大家都很熟悉因此就不详细介绍了。然而此类后门的可以很容易被发现，现在的杀毒软件大多都能轻松的查处，即使暂时查不到，用其他手段检测也不是很困难,现在就我就给大家介绍一种比一般木马后门潜伏的更深的一类木马后门--Rootkit。

传统的Rootkit是一种比普通木马后门更为阴险的木马后门。它主要通过替换系统文件来达到目的。这样就会更加的隐蔽，使检测变得比较困难。传统的Rootkit对一系列平台均有效，但主要是针对Unix的，比如Linux,AIX,SunOs等操作系统。当然有些Rootkits可以通过替换DLL文件或更改系统来攻击windows平台.Rootkit并不能让你直接获得权限，相反它是在你通过各种方法获得权限后才能使用的一种保护权限的措施，在我们获取系统根权限(根权限即root权限，是Unix系统的最高权限)以后,Rootkits提供了一套工具用来建立后门和隐藏行迹，从而让攻击者保住权限。

下面就针对Unix来讲解一下传统Rootkit的攻击原理

RootKits是如何实现后门的呢?为了理解Rootkits后门，有必要先了解一下Unix的基本工作流程，当我们访问Unix时(不管是本地还是远程登陆)，/bin/login程序都会运行，系统将通过/bin/login来收集并核对用户的帐号和密码.Rootkits使用一个带有根权限后门密码的/bin/login来替换系统的/bin/login,这样攻击者输入根权限后门的密码，就能进入系统。就算管理员更改了原来的系统密码或者把密码清空。我们仍能够

使用后门密码以根用户身份登陆。在攻入Unix系统后，入侵者通常会进行一系列的攻击动作，如安装嗅探器收集重要数据，而Unix中也会有些系统文件会监视这些动作，比如ifconfig等，Rootkit当然不会束手就擒，它会同样替换一下这些系统文件，

通常被Rootkit替换的系统程序有login,ifconfig,,find,ls,netstart,ps等。由于篇幅问题，这些系统文件的功能就不一一罗列，有兴趣的读者可以自己去查找，现在Rootkit的工具很多，里面基本都是包含一些处理过的系统文件来代替原来的系统文件的，像tOmkit等一些Rootkit就是比较优秀的了。

防御办法:Rootkit如此可怕，得好好防它才行，实际上，防御他的最有效的方法时定期的对重要系统文件的完整性进行核查，这类的工具很多，像Tripwire就是一个非常不错的文件完整性检查工具。一但发现遭受到Rootkit攻击，那你就比较麻烦了，你必须完全重装所有的系统文件部件和程序，以确保安全性.

写到这里，战争似乎结束了，然而更可怕的Rootkit还没登场，那就是更加恐怖( 这个词一点也不夸张)的内核级Rootkit。在大多数操作系统中(各种Uni x和windows)，内核是操作系统最基本的部件，它控制着对网络设备、进程、系统内存、磁盘等的访问。例如当你打开一个文件时，打开文件的请求被发送到内核，内核负责从磁盘得到文件的比特位并运行你的文件浏览程序。内核级Rootkit使攻击者获得对系统底层的完全控制权。攻击者可以修改你的内核，大多数内核级Rootkit都能进行执行重定向，即截获运行某一程序的命令，将其重定向到入侵者所选中的程序并运行此程序。也就是说用户或管理员要运行程序A，被修改过的内核假装执行A,实际却执行了程序B.现在就介绍一下内核级的Rootkit是如何攻击Unix系统的

和传统的Rootkit不同，Unix的bin/login并未被修改，但所有执行/bin/login 的请求(当登陆系统时将产生)都被重定向到攻击者制作的隐藏文件/bin/backdoorlogin，这样当系统管理员使用检测传统级别的Rootkit的方法(比如用tripwire之类的软件检测文件的完整性)就行不通了,因为/bin/login并没有被改变。同样的道理，攻击者对其他的系统程序也进行重定，这样你的操作实际就是按照入侵者的意愿执行了。也就是说，表面上你在运行程序A,你也认为自己运行的是程序A,而实际上你运行的是入侵者设定的程序B~!

更恐怖的是,内核级Rootkit不仅仅只会进行执行重定向，许多内核级Rootkit还支持文件隐蔽。传统的Rootkit是通过替换ls程序来实现文件的隐藏，而内核级的Rootkit则是通过对内核的修改来对ls程序欺骗,更加的阴险隐蔽。另外内核级的Rootkit还能对进程和网络进行隐藏，用户将得不到真实的系统情况报告。

实现思路:根据系统的类型，攻击者有不同的方法来对内核进行修改，在N种Unix系统上修改内核最简单的方法就是利用系统本身的加载的内核模块(LKM)的功能，因此大多数的内核级Rootkit通过利用LKM动态地将内核更新来提供新功能，新添加的模块扩展了内核，同时对内核和其他使用内核的所有东西有了完全访问权。

因此，许多内核级Rootkit都通过LKM来实现。安装通过LKM实现的内核级Rootkit十分简单。例如，在Linux上安装Knark内核级Rootkit只需具有根权限的入侵者输入命令: insmod knark.o 就行了，模块被安装后就等着我们输入命令了。更妙的是整个过程不需要重启.。通过LKM 实现的Rootkit在Unix上十分流行。我们也常常会通过给windows平台打LKM补丁的方法攻击windows.

内核级Rootkit 的几个例子

现在有大量的内核级Rootkit可用，现在我就选几种比较强大的来跟大家讨论一下，

一、 linux 上的内核级Rootkit:Knark

Knark具有各种标准的内核级Rootkit功能，包括执行重定向，文件隐藏，进程隐藏和网络隐藏。另外，还有不少比较过瘾的功能，如:

1、远程执行:我们可以通过网络向运行Knark的机器发送一条命令，源地址是假造的，

命令被发往UDP端口53,使之表面上看起来像是DNS流量。我们就可以利用这个功能

来升级Knark，删除系统文件或其他任何我们想做的事

2、任务攻击:当某一进程在系统上运行时，它总是具有与UID和有效的UID(EUID)相关的权限。另外进程还具有与文件系统UID(FSUID)相关的文件及目录访问权。Knark的任务攻击能力可实时地将进程UID,EUID和FSUID改变。进程在不停止运动的情况下突然具有了新的权限

3、隐藏混杂模式:

同一般的RootKit一样，入侵者也会在受害者机器上运行嗅探器。我们可以用文件隐藏和进程隐藏将嗅探器隐藏起来。然而，以太网卡会被设成混杂模式，管理员可以检查到这一点

Knark将内核进行了修改，使之隐瞒网卡的混合模式，这将使嗅探变得更加隐秘。

4、实时进程隐藏:

Knark可以将一个正在运行的进程隐藏起来。通过发送信号31给一个进程，此进程将消失，

但仍在运行。命令kill-31 process_id将阻止内核汇报任何有关此进程的信息。进程在运行时，ps和lsof命令的使用都不能显示此进程

5、内核模块隐藏:Linux中的lsmod命令可以列出当前在机器上安装的LKM.,我们自然不想让管理员看到Knark模块，因此Knark包含了一个单独的模块modhide,modhide将Knark

和自己隐藏了起来。这样，当我们用Knark攻击一个系统时，我们首先为Knark.o做一个insmod,然后为modhide.o做一个insmod。这样不管谁运行lsmod命令，这些模块都不会被发现.
二、 另一个Linux上的内核级Rootkit:Adore

同Knark一样，Adore也是一个针对Linux的LKM RootKit. 他包含了标准的内核级Rootkit功能，如文件隐藏，进程隐藏，网络隐藏和内核模块隐藏。我们只所以讨论Adore，是因为他还有一个非常强大的功能:内置的根权限后门。

Adore的根权限后门可以让我们连接到系统上并获得根权限的命令外壳，此功能十分直接了当 ，Adore将此功能巧妙的包含在内核模块中了。这一招十分难破，因为管理员看不到任何文件、进程、侦听网络端口的迹象。

防御办法:防御内核级的Rootkit的根本办法是不要让攻击者得到你的机器的系统的根本权限(Unix里的root和windows里的admin),不过这看起来像废话:)，目前对内核级的Rootkit还没有绝对的防御体系。

现在也存在一些Rootkit自动检测工具，但都不是很可靠.同时内核级的Rootkit也在不断的发展中，对一些系统来说防御它最好的办法是使用不支持LKM的内核，Linux的内核就可以设成不支持LKM的单一内核。

8. Linux内核模块的概念

首先什么是内核模块呢?这对于初学者无非是个非常难以理解的概念。内核模块是Linux内核向外部提供的一个插口，其全称为动态可加载内核模块（Loadable Kernel Mole，LKM），我们简称为模块。Linux内核之所以提供模块机制，是因为它本身是一个单内核（monolithic kernel）。单内核的最大优点是效率高，因为所有的内容都集成在一起，但其缺点是可扩展性和可维护性相对较差，模块机制就是为了弥补这一缺陷。
模块是具有独立功能的程序，它可以被单独编译，但不能独立运行。它在运行时被链接到内核作为内核的一部分在内核空间运行，这与运行在用户空间的进程是不同的。模块通常由一组函数和数据结构组成，用来实现一种文件系统、一个驱动程序或其他内核上层的功能。
总之，模块是一个为内核（从某种意义上来说，内核也是一个模块）或其他内核模块提供使用功能的代码块。

9. Linux kernel中的list怎么使用

为什么一定要别人说的才是权威呢？
你可以再LKM编程中自己验证一下，构造几个包含struct list_head的结构体元素，初始化一个头，然后依次调用list_add_tail入链表，然后在list_for_each_entry打印出来看，你就可以知道它到底是怎么插的了！
多动手，你查遍所有资料还不如3分钟的几行代码