随着互联网行业和嵌入式行业的迅猛发展,Linux的安全问题也显得日益重要。Linux系统上的rootkits技术的研究也显得日趋紧迫,因为它比用户级rootkits杀伤力更强,隐蔽性更高,技术难度也更大。本论文介绍了rootkits的基本概念、目标及发展,同时介绍了rootkits设计技术所涉及到的Linux内核机制的原理,数据结构,和实现方式。这些内核机制包括:LKM,ELF文件格式,中断处理和ext2/3文件系统。本文详细讨论了rootkits所使用的各项技术的原理及实现细节。文中介绍了最经典的LKM劫持系统调用技术,分析其缺陷,并根据此缺陷提出了内核运行时补丁方式。内核模块作为rootkits的重要依赖,模块的隐藏非常重要,文中详细分析了几种模块隐藏技术,并提出在2.6版内核下的改进方法。物理感染是rootkits常用的方法,本文也详细分析了LKM注射技术及其实现,以及在内核版本变更为2.6后的改进办法。在内核LKM被禁止的情况下,rootkits技术受到严峻的挑战,因此本文讨论了禁用LKM后的攻击技术,即对kmem虚拟文件的充分利用。文中还分析了更为底层的IDT劫持技术的特点和实现,以及当内核版本变为2.6后,中断指令改变的情况下,IDT劫持技术的应变办法。为完善rootkits的隐蔽性,本文还分析了ext2/3文件系统中文件的物理隐藏和实现。最后本文简略讨论了针对文中的攻击方式的检测及防御办法。