RKHunter是一款检测例如rootkit、后门、漏洞等恶意程序的工具。它采用多种检测手段，包括MD5哈希值对比、rootkits原始文件名检测、文件权限检测，以及LKM和KLD模块中的可疑字符串检测。

rootkit后门检测工具RKHunter RKHunter是一款专业的检测系统是否感染rootkit的工具，它通过执行一系列的脚本来确认服务器是否已经感染rootkit。在官方的资料中，RKHunter可以作的事情有： MD5校验测试，检测文件是否有改动 检测rootkit使用的二进制和系统工具文件 检测特洛伊木马程序的特征码 检测常用程序的文件属性是否异常 检测系统相关的测试 检测隐藏文件 检测可疑的核心模块LKM 检测系统已启动的监听端口 下面详细讲述下RKHunter的安装与使用。 1

分析了LKM后门实现隐藏进程的机理。针对后门设计存在的缺陷，结合／proe文件系统特点，提出了一种接顺序遍历所有PID目录而找出全部进程的方法。再将结果与普通的进程查找输出作对比，可以发现隐藏的进程。最后给出采用Perl语言实现此查找功能的流程图。实验表明该方法能准确、有效地发现被LKM后门隐藏的进程。

在本篇文章里, 我们将看到各种不同的后门技术，特别是Linux的可装载内核模块(LKM)。 我们将会发现LKM后门比传统的后门程序更加复杂，更加强大，更不易于被发现。知道这些之后，我们可以制造我们自己的基于LKM的Rootkit程序，主要体现在TCP/IP层, 因为我们相信这是在系统管理员面前最好的隐藏后门的地方。介绍一下已经存在的后门技术, 然后和LKM技术相比较, 最后讨论我么的LKM程序的设计与实现。