Единственный путь обнаружения LKM rootkit – это анализ системной памяти. Один из способов состоит в сравнении адреса системного вызова, который rootkit изменяют на свой.

При помощи утилиты кstat, ссылку на которую можно найти на http://s0ftpj.org/en/site.html, можно исследовать /dev/kmem. Для установки понадобится наличие исходных текстов ядра и при компиляции нового ядра утилиту необходимо обязательно пересобрать.

При помощи ключа -Р можно просмотреть полный список процессов, включая спрятанные LKM (при иследовании проблемы, для интереса сравните с ps aux), получить подробную информацию о процессе можно, воспользовавшись ключом -р с указанием pid.

# kstat –p 270

Для вывода таблицы адресов системного вызова используйте флаг -s:

# kstat –s

SysCall                         Address

sys_exit                        0xc0117ce4

sys_fork                        0xc0108ebc

sys_read                        0xc012604c

и так далее.

И теперь, периодически сравнивая полученные значения, можно проверять наличие данного вида rootkit в системе. И если на выходе получим что-то похожее на:

sys_kill       0xc28465d4 WARNING! Should be at 0xc01106b4

то стоит немного призадуматься над тем, что творится в системе.

Второй проект Стефана Ауберта (Stephane Aubert) Rkscan (http://www.hsc.fr/ressources/outils/rkscan/download) предлагает инструмент для автоматического определения наличия очень популярных LKM rootkit Adore (http://spider.scorpions.net/~stealth) и knark (http://packetstrom.securify.com). Здесь все просто: скачиваем, распаковываем, компилируем.