Diamorphine

Diamorphine est un rootkit LKM pour les noyaux Linux 2.6.x/3.x/4.x/5.x/6.x (x86/x86_64 et ARM64)

• Une fois chargé, le module démarre invisible ;

• Masquer/afficher n'importe quel processus en envoyant un signal 31 ;

• L'envoi d'un signal 63 (à n'importe quel pid) rend le module (in)visible ;

• L'envoi d'un signal 64 (à n'importe quel pid) fait devenir l'utilisateur donné root ;

• Les fichiers ou répertoires commençant par MAGIC_PREFIX deviennent invisibles ;

• Source : https://github.com/m0nad/Diamorphine

Vérifiez si le noyau est 2.6.x/3.x/4.x/5.x

 uname -r

Cloner le référentiel

 git clone https://github.com/m0nad/Diamorphine

Entrez dans le dossier

 cd Diamorphine

Compiler

 make

Charger le module (en tant que root)

 insmod diamorphine.ko

Le module démarre invisible, pour le supprimer, vous devez le rendre visible

 kill -63 0

Supprimez ensuite le module (en tant que root)

 rmmod diamorphine

Rootkit Wikipédia https://en.wikipedia.org/wiki/Rootkit

Pilotes de périphériques Linux http://lwn.net/Kernel/LDD3/

PIRATAGE LKM https://web.archive.org/web/20140701183221/https://www.thc.org/papers/LKM_HACKING.html

Le blog de Memset http://memset.wordpress.com/

Correction du noyau Linux à la volée sans LKM http://phrack.org/issues/58/7.html

ÉCRITURE D'UN ROOTKIT SIMPLE POUR LINUX https://web.archive.org/web/20160620231623/http://big-daddy.fr/repository/Documentation/Hacking/Security/Malware/Rootkits/writing-rootkit.txt

Référence croisée Linux http://lxr.free-electrons.com/

zizzu0 LinuxKernelModules https://github.com/zizzu0/LinuxKernelModules/

Rootkits Linux : nouvelles méthodes pour le noyau 5.7+ https://xcellerator.github.io/posts/linux_rootkits_11/