寻找一种方法来反汇编正在运行的内核。我可以通过/dev/kmem来完成吗?我正在运行Linux 2.6.32。或者我可以使用一个内核模块来运行内核。我对此是个初学者,请帮忙。
我只想检查内核镜像中是否有恶意模块,通过查看某些特定指令是否出现来实现。
我只想检查内核镜像中是否有恶意模块,通过查看某些特定指令是否出现来实现。
尝试使用Linux内核调试器。
更新
如我所说,请尝试使用Linux内核调试器。在链接的文章中,大约在页面的中间部分,有这样一段话:
从例程
schedule
开始反汇编指令。显示的行数取决于环境变量IDCOUNT
:
[0]kdb> id schedule
GDB
也可以做到这一点。http://www.symantec.com/connect/articles/detecting-rootkits-and-kernel-level-compromises-linux - user567879