摘要：介绍 《linux二进制分析》中提到了使用kprobe来写内核rootkit，还给出了一个简单的源码实现，这里看一下他的源码 kprobe kprobe的介绍可以看下面这几篇文章 介绍：https://www.cnblogs.com/honpey/p/4575928.html 原理：https:// 阅读全文

摘要：简介 搜集一下linux lkm rootkit中常用的一些技巧 1、劫持系统调用 遍历地址空间 根据系统调用中的一些导出函数，比如sys_close的地址来寻找 这要求判断的地址是导出函数，这样才能获取到地址 根据IDT地址，找到中断处理函数，再从中根据特征码找到系统调用表 在i386的机器中，使 阅读全文

摘要：资料 ppt：https://www.blackhat.com/docs/us-16/materials/us-16-Leibowitz-Horse-Pill-A-New-Type-Of-Linux-Rootkit.pdf github：https://github.com/r00tkillah/H 阅读全文

摘要：简介 Reptile是github上一个很火的linux lkm rootkit，最近学习了一些linux rootkit的内容，在这里记录一下。 主要是分析reptile的实现 Reptile的使用 安装命令： 然后执行下面的命令 接着就可以看到/reptile目录下的一些东西了，这是项目安装在系 阅读全文

摘要：简介 本文介绍github上的一个项目khook，一个可以在内核中增加钩子函数的框架，支持x86。项目地址在这里：https://github.com/milabs/khook 本文先简单介绍钩子函数，分析这个工具的用法，然后再分析代码，探究实现原理 钩子 假设在内核中有一个函数，我们想截断他的执行 阅读全文