najbolje ti je da pogledas rootkit tutoriale po phracku
imas ovde dosta zanimljivih
http://www.l0t3k.org/security/docs/rootkit/
posebnmo bih izdvojio (nearly) Complete Linux Loadable Kernel Modules
uglavnom , ako to radis iz kernel spacea treba da hookujes pozive kernelu i da modifikujes sta vracaju kao odgovor,
s druge strane , to isto mozes da postignes koristeci LD_PRELOAD , pa da tu hookujes libc pozive i isto tako modifikujes sta vracaju ,ali to nije prakticno bas,
a i prvi nacin je dosta interesantniji :)
pogledaj takodje vec postojece rootkitove za linux, adoreNG i sl ,
e da, i ovaj lik ima dosta dobrih stvari
http://darkangel.antifork.org/
ja sam se doduse bio zamlacivao sa 2.4 kernelima kad sam to radio , malcice se razlikuju stvari na 2.6
:)
pozdrav,
Aca