Linux Rootkit隐藏手段分析与应急响应指南<\/h1>

0x01 前言<\/h2>

本文全面总结Linux系统下黑灰产及恶意软件常用的Rootkit隐藏技术，涵盖五种主要隐藏手段的原理、实现方式、排查方法和恢复措施：<\/p>

通过文件挂载实现隐藏<\/li>
通过用户层劫持链接器或链接库实现隐藏<\/li>
通过劫持系统环境变量实现隐藏<\/li>
通过内核层劫持实现隐藏<\/li>

通过eBPF完成的动态劫持内核逻辑实现隐藏<\/li> <\/ol>

0x02 Rootkit隐藏技术详解<\/h2>

一、通过挂载\/proc\/pid实现pid隐藏<\/h3>

原理<\/h4>

ps、netstat等命令通过遍历\/proc目录获取进程信息<\/li>

攻击者将目标pid对应的\/proc\/pid目录挂载到隐藏目录<\/li> <\/ul>

实现方法<\/h4>

mount -o bind \/home\/.hidden \/proc\/9212
<\/span><\/span><\/code><\/pre>现象特征<\/h4>

netstat显示网络连接但PID和Programname为空<\/li>
ps命令无法显示目标进程<\/li>
<\/ul>
排查方法<\/h4>

检查挂载信息：<\/li>
<\/ol>
cat \/proc\/
<\/span><\/span>$$
<\/span><\/span>\/mountinfo
<\/span><\/span><\/code><\/pre>
检查\/proc目录异常：<\/li>
<\/ol>
ls -lai \/proc
<\/span><\/span><\/code><\/pre>恢复方法<\/h4>
umount \/proc\/9212
<\/span><\/span><\/code><\/pre>二、用户层劫持加载器\/连接器隐藏进程<\/h3>
原理<\/h4>
Linux动态库加载顺序：<\/p>

LD_PRELOAD环境变量指定的库<\/li>
\/etc\/ld.so.preload文件指定的库<\/li>
LD_LIBRARY_PATH环境变量路径<\/li>
\/lib64等系统库路径<\/li>
<\/ol>
攻击者常用三种劫持方式：<\/p>

通过LD_PRELOAD劫持<\/li>
通过\/etc\/ld.so.preload劫持<\/li>
替换关键系统库如libc.so.6<\/li>
<\/ol>
实现示例(\/etc\/ld.so.preload劫持)<\/h4>

编译恶意.so文件，重写readdir\/readdir64函数<\/li>
修改\/etc\/ld.so.preload添加恶意库路径<\/li>
特定进程名称不返回结果<\/li>
<\/ol>
现象特征<\/h4>

netstat显示连接但无PID和进程名<\/li>
ps命令完全无法发现目标进程<\/li>
<\/ul>
排查方法<\/h4>

检查环境变量：<\/li>
<\/ol>
echo $LD_PRELOAD
<\/span><\/span><\/code><\/pre>
检查预加载文件：<\/li>
<\/ol>
cat \/etc\/ld.so.preload
<\/span><\/span><\/code><\/pre>
检查动态链接器完整性：<\/li>
<\/ol>
readelf -l \/bin\/ps | grep interpreter
<\/span><\/span>ls -l \/lib64\/ld-*
<\/span><\/span>rpm -Vf \/lib64\/ld-2.17.so
<\/span><\/span><\/code><\/pre>快速排查技巧<\/h4>

检查命令依赖库：<\/li>
<\/ol>
ldd \/usr\/bin\/ps
<\/span><\/span><\/code><\/pre>
使用strace追踪：<\/li>
<\/ol>
strace -o result.txt -e trace=<\/span>file -f ps
<\/span><\/span><\/code><\/pre>恢复方法<\/h4>

清除LD_PRELOAD：<\/li>
<\/ol>
unset LD_PRELOAD
<\/span><\/span><\/code><\/pre>
清理\/etc\/ld.so.preload<\/li>
修复被篡改的系统库<\/li>
<\/ol>
绕过隐藏技巧<\/h4>

强制指定LD_PRELOAD：<\/li>
<\/ol>
LD_PRELOAD=<\/span>\/lib64\/libc.so.6 ps
<\/span><\/span><\/code><\/pre>
使用静态编译工具如busybox<\/li>
<\/ol>
三、劫持shell环境实现隐藏<\/h3>
原理<\/h4>

修改\/etc\/profile.d\/下的shell脚本<\/li>
劫持环境变量覆盖常见命令(ps\/ls\/lsof等)<\/li>
<\/ul>
实现方法<\/h4>

在\/etc\/profile.d\/添加恶意脚本<\/li>
重定义命令别名或函数<\/li>
<\/ol>
现象特征<\/h4>

交互式shell下命令行为异常<\/li>
特定文件\/进程无法显示<\/li>
<\/ul>
排查方法<\/h4>
strace -e trace=<\/span>file ls
<\/span><\/span><\/code><\/pre>恢复方法<\/h4>

检查并清理\/etc\/profile.d\/可疑脚本<\/li>
重新加载配置：<\/li>
<\/ol>
source \/etc\/profile
<\/span><\/span><\/code><\/pre>四、LKM内核劫持实现隐藏<\/h3>
原理<\/h4>
通过内核模块(LKM)劫持系统调用：<\/p>

修改syscall表中的函数指针<\/li>
常见劫持目标：getdents\/getdents64\/kill等<\/li>
<\/ol>
典型Rootkit案例<\/h4>

Diamorphine(TeamTNT使用)<\/li>
Reptile(针对韩国公司)<\/li>
Adore-ng(APT41使用)<\/li>
Skidmap(针对Redis)<\/li>
<\/ul>
实现示例(Diamorphine)<\/h4>

编译加载内核模块<\/li>
信号控制隐藏\/显示：<\/li>
<\/ol>
kill -31 PID # 隐藏进程<\/span>
<\/span><\/span>kill -63 0<\/span>   # 显示模块<\/span>
<\/span><\/span><\/code><\/pre>排查方法<\/h4>

使用rootkit检测工具：<\/li>
<\/ol>
.\/chkrootkit | grep Warning
<\/span><\/span><\/code><\/pre>
加载检测模块检查syscall表<\/li>
检查内核日志：<\/li>
<\/ol>
dmesg | grep -i 'module'<\/span>
<\/span><\/span><\/code><\/pre>
检查\/sys\/module目录：<\/li>
<\/ol>
ls \/sys\/module
<\/span><\/span><\/code><\/pre>恢复方法<\/h4>

使用工具自带卸载功能<\/li>
反向劫持恢复syscall表<\/li>
计算原始函数地址：<\/li>
<\/ol>
cat \/boot\/System.map-$(<\/span>uname -r)<\/span> | grep sys_getdent
<\/span><\/span><\/code><\/pre>五、eBPF实现进程隐藏<\/h3>
原理<\/h4>

通过eBPF程序hook系统调用<\/li>
篡改getdent\/getdent64返回结果<\/li>
<\/ul>
实现示例<\/h4>

编写eBPF程序修改getdent64<\/li>
加载运行隐藏程序<\/li>
<\/ol>
排查方法<\/h4>

检查可疑进程参数<\/li>
分析异常进程行为<\/li>
<\/ol>
恢复方法<\/h4>
终止可疑eBPF相关进程<\/p>
0x03 总结与最佳实践<\/h2>
综合排查流程<\/h3>

从用户层到内核层逐级排查<\/li>
结合静态分析与动态追踪<\/li>
使用多种工具交叉验证<\/li>
<\/ol>
推荐工具<\/h3>

chkrootkit：rootkit检测<\/li>
Rkhunter：rootkit扫描<\/li>
strace：系统调用追踪<\/li>
busybox：静态编译工具集<\/li>
<\/ul>
关键防御措施<\/h3>

定期校验系统关键文件完整性<\/li>
监控\/proc、\/sys等特殊目录变更<\/li>
限制非特权用户的模块加载能力<\/li>
实施最小权限原则<\/li>
<\/ol>
通过深入理解Rootkit技术原理，建立系统化的排查思路，结合自动化工具与手动分析，可有效应对Linux系统下的高级隐藏威胁。<\/p>

Linux Rootkit隐藏手段分析与应急响应指南<\/h1>

0x02 Rootkit隐藏技术详解<\/h2>

一、通过挂载\/proc\/pid实现pid隐藏<\/h3>

二、用户层劫持加载器\/连接器隐藏进程<\/h3>

三、劫持shell环境实现隐藏<\/h3>

四、LKM内核劫持实现隐藏<\/h3>

五、eBPF实现进程隐藏<\/h3>

恢复方法<\/h4> 终止可疑eBPF相关进程<\/p>

0x03 总结与最佳实践<\/h2>

恢复方法<\/h4>
终止可疑eBPF相关进程<\/p>