原文首发在：奇安信攻防社区

https://forum.butian.net/share/3796

本文主要针对黑灰产相关的蠕木僵毒等恶意软件在Linux上常用的rootkit手段做一些总结，以及详细分析常见应急响应中遇到的进程、文件隐藏手段的原理以及排查和恢复方法；

前言

本文主要针对黑灰产、以及蠕木僵毒等恶意软件在linux上常用的rootkit手段做一些总结，以及详细分析常见应急响应中遇到的进程、文件隐藏手段的原理以及排查和恢复方法；

从技术实现原理上看，笔者把其常见的rootkit隐藏手段大致分为五大类：

1、通过文件挂载实现隐藏

2、通过用户层劫持链接器或链接库实现隐藏

3、通过劫持系统环境变量，劫持相关命令，从而实现对影藏

4、通过内核层劫持实现隐藏

5、通过ebpf完成的动态劫持内核逻辑实现隐藏