.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
A使LKM Rootkit再次可见。
该工具是将启动LKM Rootkit的研究的一部分。
,例如获取rootkit的“ show_module”函数的内存地址,并使用它来调用它,将其添加回LSMOD,从而可以删除LKM rootkit。
我们可以使用/sys/bernel/tracing/oparive_filter_functions_addrs中的非常简单的内核中获得函数地址,但是,仅可从内核6.5倍获得。
一种替代方法是扫描内核内存,然后再次将其添加到LSMOD,以便可以将其删除。
因此,总而言之,该LKM滥用LKM rootkit的功能,该功能再次可见。
OBS:还有另一个删除/切割LKM rootkit的技巧,但它将在研究中进行。