Diamorphine

Diamorphine é um rootkit LKM para Linux Kernels 2.6.x/3.x/4.x/5.x/6.x (x86/x86_64 e ARM64)

• Quando carregado, o módulo começa invisível;

• Ocultar/exibir qualquer processo enviando um sinal 31;

• Enviar um sinal 63 (para qualquer pid) faz com que o módulo fique (in)visível;

• Enviar um sinal 64 (para qualquer pid) faz com que determinado usuário se torne root;

• Arquivos ou diretórios começando com MAGIC_PREFIX tornam-se invisíveis;

• Fonte: https://github.com/m0nad/Diamorphine

Verifique se o kernel é 2.6.x/3.x/4.x/5.x

 uname -r

Clonar o repositório

 git clone https://github.com/m0nad/Diamorphine

Entre na pasta

 cd Diamorphine

Compilar

 make

Carregue o módulo (como root)

 insmod diamorphine.ko

O módulo começa invisível, para removê-lo é necessário torná-lo visível

 kill -63 0

Em seguida, remova o módulo (como root)

 rmmod diamorphine

Rootkit da Wikipédia https://en.wikipedia.org/wiki/Rootkit

Drivers de dispositivos Linux http://lwn.net/Kernel/LDD3/

LKM HACKING https://web.archive.org/web/20140701183221/https://www.thc.org/papers/LKM_HACKING.html

Blog do Memset http://memset.wordpress.com/

Correção imediata do kernel do Linux sem LKM http://phrack.org/issues/58/7.html

ESCREVER UM ROOTKIT SIMPLES PARA LINUX https://web.archive.org/web/20160620231623/http://big-daddy.fr/repository/Documentation/Hacking/Security/Malware/Rootkits/writing-rootkit.txt

Referência cruzada do Linux http://lxr.free-electrons.com/

zizzu0 LinuxKernelModules https://github.com/zizzu0/LinuxKernelModules/

Rootkits Linux: novos métodos para Kernel 5.7+ https://xcellerator.github.io/posts/linux_rootkits_11/