Linux-ru

Вот такая достаточно свеженькая статья: Простая маскировка модуля ядра Linux с применением DKOM.

Далее будут рассмотрены особенности применения данной техники с целью сокрытия видимых признаков наличия модуля в системе и, как следствие, невозможности его выгрузки.

Код: Выделить всё

# insmod findme.ko
# lsmod | grep findme
findme                 12697  0
# sysctl -w findme=1
findme = 1
# lsmod | grep findme
# rmmod findme
libkmod: ERROR ../libkmod/libkmod-module.c:753 kmod_module_remove_module: could not remove 'findme': No such file or directory
Error: could not remove module findme: No such file or directory
# sysctl -w findme=0
findme = 0
# lsmod | grep findme
findme                 12697  0 
# rmmod findme

Рекомендую
Я попозже планирую вернуться к теме.
Там же ссылка на GIT-репозитарий кода.

Код: Выделить всё

MODULE_AUTHOR("Ilya V. Matveychikov <i.matveychikov@milabs.ru>");

Но если кому лень по GIT лазить, то я архив прикрепил.

Olej писал(а):Вот такая достаточно свеженькая статья: Простая маскировка модуля ядра Linux с применением DKOM.

Книгу (PDF 45 стр.) про DKOM (Direct Kernel Object Manipulation) можете найти здесь: DKOM (Direct Kernel Object Manipulation).
Но я её тоже прилагаю.