改进：
1、根据进程名隐藏特定进程，这样我们就灵活很多了，有了这个功能，我们可以弥补adore在后门方面的缺陷，结合一些bindport或者connect back的后门使用

，否则系统进都进不去了，隐藏不隐藏对我们来说没意义了啊，现在只根据pid隐藏，一旦reboot了之后，pid肯定变了。。。
2、加一个端口复用或回连的后门功能吧。。。。类似sk那样的。

渐渐地。。。。渐渐地。。。我会在我的网站发布本文的更新和类似后门测试内容的小文，有兴趣的朋友可以关注

http://baoz.net

检测：
1、官方给出的检查工具

http://stealth.openwall.net/rootkits/removal/determine-0-24.tgz

[root@RHEL4 determine]# ./determine
deter-mine LKM rootkit detector. (C) 2004 Stealth

Trying to detect hidden processes …Done.
Scanning /dev/mem for signatures. This may take a while …
Did not find any sign of a LKM rootkit.
我们隐藏一个进程看看
[root@RHEL4 determine]# ava i 1557
Checking for adore 0.12 or higher …
Adore 1.54 installed. Good luck.
Made PID 1557 invisible.

再检查
[root@RHEL4 determine]# ./determine
deter-mine LKM rootkit detector. (C) 2004 Stealth
Trying to detect hidden processes …
Process with PID 1557 does not have a appropriate /proc entry. Hidden?Done.
Scanning /dev/mem for signatures. This may take a while …
Unusual behaivior has been detected. Please consult the removal chapter of the README-file. <–发现了

2、chkrootkit
chkrootkit-0.46a这个可以发现隐藏了一个进程

3、rkhunter
rkhunter-1.2.8这个东西连隐藏进程都不去检查，还叫什么hunter….不过他在其他方面到是做的挺细心的。

                                                                                                感谢作者：baoz