adore虽然是老牌rootkit了，但是我觉得他还是太单一了，单一的rootkit（我针对的是LSM和不LSM--sk），就是隐藏东西而已，并没有后门功能，虽然他的FEATURE文件里写着什么caption backdoor的，那个backdoor我觉得就是通过他的ava来以root执行命令，这个在远程上根本解决不了什么问题，根本起不到一个door的作用，但由于他的adore-ng可以在2.6内核下面跑，而且adore也十分成熟，并且当前情况下 for 2.6的rootkit还是比较少，正在写一个关于linux下后门的大杂烩的文章，所以就搞来测试一番。发阵牢骚，Y的FC2以后kmem就默认disable了，sk这样经典牛X的rootkit+backdoor如果要port到FC or RHEL上面去估计很少很少人能做到，对于他这个inject on the fly必须要有一个新的思路可能才可以实现了，不过sk这么好的后门，就算是lkm也勉强可以接受了。扯远了。今天在我的测试机上测试了一下adore-ng .053，relink之后，出现这个错误。有可能link错了模块，懒得再试别的模块了，呵呵。我link的是有别的模块依赖它的模块，估计要link一个没依赖的模块吧，突然有个急事，先写到这里，呵呵。有兴趣的朋友也可以一起测试一下交流心得

fatb#baoz.net