在服务器安全应急服务中很多服务器中了一个rookit的木马后门，那rookit是一个隐藏其他进程的软件，这个软件可能是一个或一个以上的软件组合，那今天rookit这一词它已经变为一个驱动程序，也就是说恶意的驱动程序，就是加载到内核的恶意软件，那这个图画的比较复杂，大家可能不太理解，那我给大家简化一下，比如这是，用户层，用户层的意思就是咱们的执行命令，比如说bash，这个就是用户层，那内合成内核层就是Linux的系统内核，那所有的应用层其实都要调用到内核层的某一些函数。

那好，大家看一下比如我这里调用了一个ls，它就会调用系统内核的文件系统。这时候比如我现在打了一个ls，他就会调用这看一下这个目录下有没有文件，那有文件的话就返回给ls iOS去展示。那这个时候 rookit做的是什么？它在这里做了一个hook，当然这只是一个简略的图，我获得了用户的输入，比如说它ls它调用了系统内核的一个函数，那这个函数它的路径被我给占用了，我再去调用真正的系统函数，之后再把结果返回给ls。

那这个过程我是不是想让某一个文件展示出来，它就展示出来。比如我现在ls我想隐藏这个文件，我在rookit里，将这个文件再返回的结果里边删除掉就可以了。那好，我们来做个实验，将rookit插入到系统内核，rookit我已经编译好了，执行命令插入，插入之后再看一下咱们的端口，看已经看不到端口了。也就是说我用户层已经看不见有开着的端口，那就是因为我这个rookit将端口给隐藏掉了，清除这个rookit，从内核卸载掉它。

再看一下端口，AR已经出来了，那这就是rookit植入到咱们系统的一个最简单的应用。那比如咱们之前的一些排查方法，像查找文件，定时任务，或者一些隐藏的后门，一旦咱们常规的手段排查不出来，那就要测一下root的，他有可能将内核加载之后，它隐藏了自己的文件，或者隐藏了自己的端口。

那看一下。我是编译就不讲了，因为这个有项目大家可以后边我会给推给大家，大家可以去看一下。那检查。现在已经植入了locate，我们如何检查是不是系统被中了rookit，那安装一下checkout，因为我之前已经安装了，所以这里就不再重新安装了，直接执行这条命令就可以了。