信息技术高速发展的今天,人类生活越来越依赖计算机技术,由此背景下的计算机安全技术越发凸显其重要性。Rootkit是90年代后期成熟的后门技术,其中基于Linux内核的虚拟文件系统的Rootkit技术隐蔽性最强查杀难度最大,至今还未出现成熟的清除技术。Adore-ng是典型的基于Linux下VFS层上的开源rootkit软件。其通过对虚拟文件层下的文件操作函数指针的替换实现对系统的攻击。Adore-ng提供文件隐藏功能、进程隐藏功能、端口隐藏功能、攻击模块隐藏功能、攻击现场清理功能、系统root权限获取功能。　　 Adore-ng攻击原理主要依赖于Linux内核VFS与LKM两个机制。本文通过对Linux内核VFS与LKM机制的源码的阅读与分析,结合Adore-ng软件攻击原理,深入分析研究虚拟文件系统层下Rootkit技术细节与攻击原理。在Linux内核VFS层的设计中,为了统一不同文件系统文件操作接口,各个文件的操作函数在设计中是通过预留函数指针实现的。Adore-ng攻击的关键技术正是将VFS层内文件操作函数的函数指针替换成恶意函数。　　 由于Adore-ng攻击的动作极为简约,故一些常用的检测技术对其的检测效果都不明显。模块地址匹配检测技术是一种对Adore-ng较为有效的检测技术,但其仅仅只能在攻击发生以后向系统管理员发出攻击警告。本文在模块地址匹配检测技术的基础上进行改进,提出一种清除Adore-ng的新方案,并从理论上说明了该方案的有效性。