Diamorphine

Diamorphine — это руткит LKM для ядер Linux 2.6.x/3.x/4.x/5.x/6.x (x86/x86_64 и ARM64).

• При загрузке модуль становится невидимым;

• Скрыть/показать любой процесс, отправив сигнал 31;

• Отправка сигнала 63 (на любой pid) делает модуль (не)видимым;

• Отправка сигнала 64 (на любой pid) делает данного пользователя пользователем root;

• Файлы или каталоги, начинающиеся с MAGIC_PREFIX, становятся невидимыми;

• Источник: https://github.com/m0nad/Diamorphine.

Убедитесь, что ядро ​​имеет версию 2.6.x/3.x/4.x/5.x.

 uname -r

Клонировать репозиторий

 git clone https://github.com/m0nad/Diamorphine

Войдите в папку

 cd Diamorphine

Скомпилировать

 make

Загрузите модуль (как root)

 insmod diamorphine.ko

Модуль запускается невидимым, для удаления нужно сделать его видимым

 kill -63 0

Затем удалите модуль (как root)

 rmmod diamorphine

Руткит Википедии https://en.wikipedia.org/wiki/Rootkit

Драйверы устройств Linux http://lwn.net/Kernel/LDD3/

ВЗЛОМ LKM https://web.archive.org/web/20140701183221/https://www.thc.org/papers/LKM_HACKING.html

Блог Memset http://memset.wordpress.com/

Обновление ядра Linux «на лету» без LKM http://phrack.org/issues/58/7.html

НАПИСАНИЕ ПРОСТОГО РУТКИТА ДЛЯ LINUX https://web.archive.org/web/20160620231623/http://big-daddy.fr/repository/Documentation/Hacking/Security/Malware/Rootkits/writing-rootkit.txt

Перекрестная ссылка на Linux http://lxr.free-electrons.com/

zizzu0 LinuxKernelModules https://github.com/zizzu0/LinuxKernelModules/

Руткиты Linux: новые методы для ядра 5.7+ https://xcellerator.github.io/posts/linux_rootkits_11/