Diamorphine

Diamorphine 是适用于 Linux 内核 2.6.x/3.x/4.x/5.x/6.x（x86/x86_64 和 ARM64）的 LKM rootkit

• 加载后，模块开始不可见；

• 通过发送信号31来隐藏/取消隐藏任何进程；

• 发送信号 63（到任何 pid）使模块变得可见（不可见）；

• 发送信号 64（到任何 pid）使给定用户成为 root；

• 以 MAGIC_PREFIX 开头的文件或目录变得不可见；

• 来源：https://github.com/m0nad/Diamorphine

验证内核是否为 2.6.x/3.x/4.x/5.x

 uname -r

克隆存储库

 git clone https://github.com/m0nad/Diamorphine

输入文件夹

 cd Diamorphine

编译

 make

加载模块（以 root 身份）

 insmod diamorphine.ko

该模块开始时不可见，要删除您需要使其可见

 kill -63 0

然后删除模块（以root身份）

 rmmod diamorphine

维基百科 Rootkit https://en.wikipedia.org/wiki/Rootkit

Linux 设备驱动程序 http://lwn.net/Kernel/LDD3/

LKM 黑客 https://web.archive.org/web/20140701183221/https://www.thc.org/papers/LKM_HACKING.html

Memset 的博客 http://memset.wordpress.com/

无需 LKM 的 Linux 动态内核修补 http://phrack.org/issues/58/7.html

为 LINUX 编写一个简单的 Rootkit https://web.archive.org/web/20160620231623/http://big-daddy.fr/repository/Documentation/Hacking/Security/Malware/Rootkits/writing-rootkit.txt

Linux 交叉参考 http://lxr.free-electrons.com/

zizzu0 LinuxKernelModules https://github.com/zizzu0/LinuxKernelModules/

Linux Rootkit：内核 5.7+ 的新方法 https://xcellerator.github.io/posts/linux_rootkits_11/