Je hebt een klacht over de onderstaande posting:
Je kernel zonder lkm support compilen gaat niet helpen tegen kernel rootkits, aangezien er nog andere manieren bestaan om de kernel te infecteren (/dev/mem, /dev/kmem). Ik vraag me af, in hoe verre een userland tooltje je kan beschermen tegen rootkits. Hashes van systeem binaries maken is natuurlijk altijd wel een goed idee, alleen ben je er dan nog lang niet. rootkithunter zoekt naar default install dirs etc van bekende rootkits, die zo aangepast kunnen worden, en er zijn natuurlijk ook genoeg onbekende kits. Het is bovendien erg makkelijk om rootkithunter te verslaan: door bijv. van de vfs layer proc_fops->readdir te laten pointen naar je eigen gebackdoorde readdir, kan je processen hiden zonder dat rootkithunter dit door heeft. Dit is al een heel oud truukje dat in phrack heeft gestaan. Ik denk als je echt maatregelen tegen rootkist wilt nemen, dat je dit al op kernel niveau moet doen.
Beschrijf je klacht (Optioneel):