Евгений Калошин ака Multik написал 2 довольно интересных и, несомненно, необходимых статьи, основное назначение которых - описание методики и способов поиска программных закладок в операционной системе Linux. В первой части описан общий случай - как и на что стоит обратить внимание при исследовании захваченной (или имеющей подозрение на захват) системы. Во второй статье автор рассматривает более конкретный пример - обнаружение руткита, который представляет собой LKM (Linux Kernel Module). В качестве подопытного был выбран руткит adore (мы писали о выходе его новой версии на прошедшй неделе). В качестве примера приводится Perl-скрипт (написанный, по словам автора, "на коленке), основное назначение которого поиск скрытых процессов путём анализа файловой системы /proc.
Первая часть - http://www.multik.ru/linux/bulgar/
Вторая часть - http://www.multik.ru/linux/bulgar2/