除了LD_PRELOAD技巧和用您提供的系统内核替换某个系统调用的Linux内核模块外,是否有可能拦截一个系统调用(例如打开),以便它在实际打开之前先经过您的函数?
如果您确实需要解决方案,那么您可能会对可以完成此操作的DR rootkit感兴趣,请访问http://www.immunityinc.com/downloads/linux_rootkit_source.tbz2,有关该文章的文章位于http://www.theregister.co。 uk / 2008/09/04 / linux_rootkit_released /
