Руткит в ring 0: SELinux не видит, антивирус не слышит — разбираем LKM-руткиты на уровне кода ядра.Загрузили вредоносный модуль — и между атакующим и железом пусто. AppArmor, EDR, chkrootkit работают этажом выше и слепы к тому, что творится внутри ядра. Kernel rootkit...
Kernel Rootkit Linux: перехват syscall table, модификация VFS и сокрытие процессов — от кода до детектирования
Источник: codeby.net