針對 Linux 操作系統的 Rootkit 包括什么

針對linux操作系統的Rootkit包括以下這些程序：

• 以太網嗅探器程序：用于獲得網絡上傳輸的用戶名和密碼等信息。

• 特洛伊木馬程序：例如：inetd或者login，為攻擊者提供后門。

• 隱藏攻擊者的目錄和進程的程序：例如：ps、netstat、rshd和ls等。

• 可能還包括一些日志清理工具：例如：zap、zap2或者z2，攻擊者使用這些清理工具刪除wtmp、utmp和lastlog等日志文件中有關自己行蹤的條目。

rootkit有以下功能：

• 隱藏文件：該惡意軟件可以修改sys_getdents64系統調用或者直接更改底層readdir實現文件及目錄的隱藏；

• 隱藏進程：和隱藏文件的方法類型，通過隱藏proc文件系統下的進程目錄實現隱藏進程的效果；

• 隱藏連接：通過hook sys_read的調用實現隱藏連接，也可以通過修改計算機相應函數來隱藏；

• 隱藏模塊：通過將模塊從內核模塊鏈表中摘除從而達到隱藏效果；

• 嗅探：通過libpacap庫直接訪問鏈路層截獲數據包等方式來嗅探；

• 密碼記錄：一般通過判斷當前運行程序的進程名或當前終端是否關閉回顯的方式來獲取用戶輸入的賬戶和密碼；

• 日志擦除：內置他人編寫的相應工具對日志文件進行修改，并且可以實現一些隱藏用戶的操作。

回答所涉及的環境：聯想天逸510S、Windows 10。