Diamorphine

Diamorphine は、Linux カーネル 2.6.x/3.x/4.x/5.x/6.x (x86/x86_64 および ARM64) 用の LKM ルートキットです。

• ロードされると、モジュールは非表示で開始されます。

• シグナル 31 を送信してプロセスを非表示/再表示します。

• シグナル 63 (任意の pid に) を送信すると、モジュールが (非表示に) なります。

• シグナル 64 (任意の pid に) を送信すると、指定されたユーザーが root になります。

• MAGIC_PREFIX で始まるファイルまたはディレクトリは非表示になります。

• 出典: https://github.com/m0nad/Diamorphine

カーネルが 2.6.x/3.x/4.x/5.x であることを確認します。

 uname -r

リポジトリのクローンを作成する

 git clone https://github.com/m0nad/Diamorphine

フォルダーを入力してください

 cd Diamorphine

コンパイル

 make

モジュールをロードします(rootとして)

 insmod diamorphine.ko

モジュールは非表示で開始されます。削除するには、モジュールを表示する必要があります。

 kill -63 0

次に、モジュールを削除します（ルートとして）

 rmmod diamorphine

ウィキペディア ルートキット https://en.wikipedia.org/wiki/Rootkit

Linux デバイス ドライバー http://lwn.net/Kernel/LDD3/

LKM ハッキング https://web.archive.org/web/20140701183221/https://www.thc.org/papers/LKM_HACKING.html

Memset のブログ http://memset.wordpress.com/

LKM を使用しない Linux のオンザフライ カーネル パッチ適用 http://phrack.org/issues/58/7.html

Linux 用の単純なルートキットの作成 https://web.archive.org/web/20160620231623/http://big-daddy.fr/repository/Documentation/Hacking/Security/Malware/Rootkits/writing-rootkit.txt

Linux クロスリファレンス http://lxr.free-electrons.com/

zizzu0 LinuxKernelModules https://github.com/zizzu0/LinuxKernelModules/

Linux ルートキット: カーネル 5.7 以降の新しいメソッド https://xcellerator.github.io/posts/linux_rootkits_11/