Author: xi4oyu
Team: D.S.T 数据安全中心

这是个adore-ng的简单安装使用指南，如果是老鸟就不用看了，呵呵
adore-ng是一款优秀的LKM rootkit，可以从http://stealth.openwall.net/rootkits/ 这里下载到它的最新版本。目前最新版的是0.54，能够在2.4 -2.6内核下使用，并且稳定性十分好。下面我们通过一步步的演示来揭示它强大的功能.

1.以root身份登录目标机器,下载adore-ng到本地：

2．用tar xzf adore-ng-0.54.tgz解压缩。进入adore-ng目录。

3．我们这里是RH9的环境，内核版本是.2.4.20，可以直接使用它的configure脚本来进行编译安装。如果是2.6版本的，要将Makefile.2.6改名为Makefile以后编译。关于版本和处理器类型的信息，可以通过uname –a来进行查看。

这里提示输入密码，随便输入一个你熟悉的就行，然后回车，就能自动生成Makefile文件了。
4.编辑Makefile 如果是RedHat 的发行版，记得将RedHat选项打开，如果内核是支持SMP的，记得也得将这个选项打开，同时指明linux内核代码所在的目录，然后运行make开始编译。


5．呵呵，貌似是成功了，现在我们开始装载进去，adore-ng这里提供了一个叫relink的工具来安装，当然你可以选择替换模块来安装。./relink一下，看看有哪些模块能够被自动安装，列出了一些，我们选择一个试试，就keybdev好了，看操作：

如果成功的话应该adore-ng.o应该已经给inject了，这时候我们运行./startadore，启动adore这时候我们的当前目录应该是属于已经被隐藏的了，cd ..到外层 ls 一下看看：

原来所在的目录是adore-ng现在已经看不见了，OK, 进入那个目录cd adore-ng
Adore-ng的操作主要是通过ava进行的./ava 下看看：

功能简单明了，我这就举一个例子好了，比如我们在肉鸡上只有一个普通用户的帐号，但是又不想在/etc/passwd留下我们的root级别的帐户，怎么办呢？我们只要吧这个./ava放到我们普通用户能够访问到的地方，运行./ava r /bin/bash就得到了一个root权限的shell，w一下看看，木有显示root登陆哦，呵呵。

OK,就到这吧，至于怎么清除这个LKM rootkit，如果是自己安装的话，直接使用ava里面的U选项就行了，如果是别人中的，根据adore作者的建议重新make modules，或者重新安装所有模块的RPM包。

文章写的仓促，难免有遗漏和不足之处，欢迎指正。依妹儿：Evil.xi4oyu@gmail.com