Linux环境下入侵工具Knark的分析及防范(2)

　　联合使用程序执行重新定向和文件隐藏，入侵者能提供各种后门程序执行。由于执行重定向是在内核级别进行的，因此文件检测工具不会发现程序文件被修改-原始的执行程序并没有被修改，因此配置检测工具在路径环境中也不会发现任何异常。

　　如果Knark结合另外一个用来隐藏系统当前加载的模块的LKM工具modhide，就可能实现甚至通过lsmod命令也不能发现knark的存在。