恶意Linux内核模块如何工作的

LKM的存在对系统管理员是个福音，对入侵检测却是个噩梦。LKM最初被设计用来无 须重新启动而改变运行中的内核，从而提供一些动态功能。动态内核提供了对诸如新文件系统类型和网卡等设备的额外支持。此外，由于内核模块能够访问内核的所 有调用和存储区，它能不受控制地改动整个操作系统的各个部位，因而所有调用和内存常驻的结构都有被恶意内核模块修改的危险。