和传统的Rootkit不同，Unix的bin/login并未被修改，但所有执行/bin/login 的请求(当登陆系统时将产生)都被重定向到攻击者制作的隐藏文件/bin/backdoorlogin，这样当系统管理员使用检测传统级别的Rootkit的方法(比如用tripwire之类的软件检测文件的完整性)就行不通了,因为/bin/login并没有被改变。同样的道理，攻击者对其他的系统程序也进行重定，这样你的操作实际就是按照入侵者的意愿执行了。也就是说，表面上你在运行程序A,你也认为自己运行的是程序A,而实际上你运行的是入侵者设定的程序B~!

　　更恐怖的是,内核级Rootkit不仅仅只会进行执行重定向，许多内核级Rootkit还支持文件隐蔽。传统的Rootkit是通过替换ls程序来实现文件的隐藏，而内核级的Rootkit则是通过对内核的修改来对ls程序欺骗,更加的阴险隐蔽。另外内核级的Rootkit还能对进程和网络进行隐藏，用户将得不到真实的系统情况报告。

　　实现思路:根据系统的类型，攻击者有不同的方法来对内核进行修改，在N种Unix系统上修改内核最简单的方法就是利用系统本身的加载的内核模块(LKM)的功能，因此大多数的内核级Rootkit通过利用LKM动态地将内核更新来提供新功能，新添加的模块扩展了内核，同时对内核和其他使用内核的所有东西有了完全访问权。

　　因此，许多内核级Rootkit都通过LKM来实现。安装通过LKM实现的内核级Rootkit十分简单。例如，在Linux上安装Knark内核级Rootkit只需具有根权限的入侵者输入命令: insmod knark.o 就行了，模块被安装后就等着我们输入命令了。更妙的是整个过程不需要重启.。通过LKM 实现的Rootkit在Unix上十分流行。我们也常常会通过给windows平台打LKM补丁的方法攻击windows.

　　内核级Rootkit 的几个例子

　　现在有大量的内核级Rootkit可用，现在我就选几种比较强大的来跟大家讨论一下，

　　一、 linux 上的内核级Rootkit:Knark

　　Knark具有各种标准的内核级Rootkit功能，包括执行重定向，文件隐藏，进程隐藏和网络隐藏。另外，还有不少比较过瘾的功能，如:

　　1、远程执行:我们可以通过网络向运行Knark的机器发送一条命令，源地址是假造的，

　　命令被发往UDP端口53,使之表面上看起来像是DNS流量。我们就可以利用这个功能

　　来升级Knark，删除系统文件或其他任何我们想做的事

　　2、任务攻击:当某一进程在系统上运行时，它总是具有与UID和有效的UID(EUID)相关的权限。另外进程还具有与文件系统UID(FSUID)相关的文件及目录访问权。Knark的任务攻击能力可实时地将进程UID,EUID和FSUID改变。进程在不停止运动的情况下突然具有了新的权限

　　3、隐藏混杂模式:

　　同一般的RootKit一样，入侵者也会在受害者机器上运行嗅探器。我们可以用文件隐藏和进程隐藏将嗅探器隐藏起来。然而，以太网卡会被设成混杂模式，管理员可以检查到这一点

　　Knark将内核进行了修改，使之隐瞒网卡的混合模式，这将使嗅探变得更加隐秘。