Linux系统安全之Rootkit原理解析与检测实践

Rootkit是一组计算机软件的合集，通常是恶意的，它的目的是在非授权的情况下维持系统最高权限（在Unix、Linux下为root，在Windows下为Administrator）来访问计算机。与病毒或者木马不同的是，Rootkit试图通过隐藏自己来防止被发现，以到达长期利用受害主机的目的。Rootkit和病毒或者木马一样，都会对Linux系统安全产生极大的威胁。

本章将首先介绍Linux Rootkit的分类和原理，然后介绍用于检测Rootkit的工具和方法。接下来，本章将介绍病毒木马扫描技术。Webshell作为恶意代码的一种例子，也可以看做是一种特殊形式的木马，它以Web服务器运行环境为依托，实现黑客对受害主机长期隐蔽性的控制。在本章的最后部分，也对这种恶意代码的检测方法做了讲解。

1.1 Rootkit分类和原理

Rootkit