一个Rootkit小玩具

    最近在学Linux Kernel Module程序编写，本质上还是为了开发Rootkit来的，学了些基础的东西，个人感觉欺负部分安服仔还是够用的...

    程序没有名字....嗯 因为太简单了，不好意思带啥名字...

    先来介绍一下功能吧，主要做了这些事情，隐藏ls命令下的文件，自己的想法是为了后续的SetSuperUser后门做伏笔，但是后来就没写了，，，因为懒病上身了，后续会更新的...一定会更新，主要隐藏了2个文件名，evil.php以及EVILDEVICEBACKDOOR，一个作为web网页木马，一个留作驱动木马

    其次对进程做了一些操作，通过kill -64命令发送给需要隐藏保护的进程，之后会将需要保护的进程隐藏，通过ps命令无法找到，以及隐藏了lsmod，通过lsmod也找不到加载的模块，卸载的函数没写(都上内核木马了还打算卸载？？？当然重启解决一切问题 )

    图中ping进程已经无法通过ps命令找到，程序正常执行，同函数内禁止了结束进程的信号，通过kill或kill -9 无法结束进程，进程无法杀死

    其次就是端口隐藏，跑一个nc链接，然后向程序发送64号信号，可以看到netstat -atp已经无法看到远连了4444端口(我只隐藏了4444)

有兴趣的师傅可以下载下来试试，程序后续会更新完善....

扯皮了这么多，直接上github链接
https://github.com/yifaang/Simple-Linux-Rootkit

原文始发于微信公众号（CSJH网络安全团队）：一个Rootkit小玩具