Linux安全系列之启动篇

但是我们还要做一件事，就是我们需要把我们ko入口地址修改成我们的rootkit函数的地址，我们可以看一下，入口init_module和rootkit()的地址现在分别是多少：

objdump -t cdrom_new.ko|grep init 

可以看到是不一样的，我们的地址是0000000000000011

所以我们要先把init_module的地址修改为0000000000000011

修改工具可以加入知识星球后获取(加入方式见文章末尾)

好了，现在我们可以把这个cdrom_new.ko覆盖掉原来test目录下的cdrom.ko

然后把initrd重新打包，覆盖掉原本的/boot/initrd.img-4.6.0-kali1-amd64

然后重启

执行dmesg|grep Rootkit 我们可以看到如下：

当然kernel也可以做手脚，有兴趣的同学可以试试。

我们怎么检查它是否被篡改了呢?简单的检查下可以用，stat 看一下时间对不对，当然要看change time，其他时间没有用。

stat /boot/initrd-2.6.32-431.el6.x86_64.img

二.Inittab

内核加载完毕，控制权交给了初始化程序init，init会根据/etc/inittab中定义的系统运行级别等动作来进行脚本执行。所以这个配置文件inittab成了第二个启动点。

比如：大名鼎鼎的shv5及其变种ddrk和mafix都是这种启动方式，他们篡改后的inittab截图：

设定了2345运行级别时都会执行一次/usr/sbin/ttyload(后门程序)

三.Sysinit

（编辑：惠州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!