什么是/lib/模块/4.4.0-XX-泛型/vdso/.？

Question

我用chkrootkit做了一个rootkit搜索，找到了一组奇怪的文件：

/usr/lib/debug/.build-id 
/lib/modules/4.4.0-51-generic/vdso/.build-id 
/lib/modules/4.4.0-47-generic/vdso/.build-id 
/lib/modules/4.4.0-38-generic/vdso/.build-id 
/lib/modules/4.4.0-36-generic/vdso/.build-id 
/lib/modules/4.4.0-45-generic/vdso/.build-id
/usr/lib/debug/.build-id 
/lib/modules/4.4.0-51-generic/vdso/.build-id 
/lib/modules/4.4.0-47-generic/vdso/.build-id 
/lib/modules/4.4.0-38-generic/vdso/.build-id 
/lib/modules/4.4.0-36-generic/vdso/.build-id 
/lib/modules/4.4.0-45-generic/vdso/.build-id

这些到底是什么？我很确定他们都是假阳性，但我仍然不知道他们是什么，他们为什么在那里。我做了一些搜索，看起来这些都是以前更新后留下的内核图像。

那么，他们为什么要制造假阳性，我该如何处理呢？

Answer 1

/lib/modules/是存储模块的目录。下一个位(带数字)是这些模块所属的内核号。

vdso在模块的名称中(它代表virtual dynamic shared object)。您的系统执行了大量的“系统调用”(比如对磁盘的读写、授予权限等)，并且占用了大量的资源来执行这些调用。但这些电话也做了很多。创建vdso模块是为了通过为它们分配内存来帮助改进所需的时间。

来自维基百科：

vDSO (虚拟动态链接共享对象)是一种Linux内核机制，用于将一组精心选择的内核空间例程导出到用户空间应用程序中，这样应用程序就可以调用这些进程中的内核空间例程，而无需通过系统调用接口调用这些内核空间例程时所固有的上下文切换的性能损失。

关于这方面的更多信息：

• gitbooks：第1部分，第2部分，第3部分都是关于系统调用的。第2部分是关于"vdso“和"vsyscall”。

我很确定他们都是假阳性

可能(就像所有这些rootkit通知中的99.999999%一样)，但是您可能需要将这些文件与干净的系统进行比较，并检查文件大小、最后修改时间以直观地检查这是否为假阳性。

顺便提一下：/lib/modules/目录很快就会变得很大。删除旧内核是安全的(保存当前和下一个最不老的内核只是为了确保备份)。请参阅：如何删除旧内核版本以清除启动菜单？

删除旧版本还会降低rootkit中的通知数量;)

Answer 2

我在一个测试VM (ubuntu18.04LTS)的rootkit扫描上看到了这些信息，并删除了它们。在系统上没有明显的副作用，尽管在重新启动时，操作系统似乎正在使用它们。