Linux Kernel Development: internals para analistas

Sinopsis

Linux Kernel Development, 3rd Edition (Robert Love, Addison-Wesley, 2010) es el equivalente Linux de Windows Internals. Cubre la arquitectura del kernel Linux: procesos, scheduling, gestión de memoria, VFS (Virtual Filesystem), interrupciones, sincronización y módulos del kernel.

Público objetivo

Analistas de malware Linux que necesitan entender qué manipulan los rootkits LKM. Investigadores de seguridad en entornos cloud/containers. Desarrolladores de herramientas de monitorización Linux.

Lo que aprenderás

Procesos y scheduling: task_struct, creación de procesos (fork/exec), el scheduler CFS. Base para entender cómo los rootkits ocultan procesos en Linux. Memoria: páginas, slabs, kmalloc, vmalloc, address spaces. Necesario para análisis de memoria con Volatility en Linux. VFS: capa de abstracción del filesystem. Los rootkits hookean VFS para ocultar archivos. Módulos del kernel (LKMs): cómo cargar y descargar módulos. Los rootkits Linux (Diamorphine, Reptile) son LKMs. Interrupciones y syscalls: cómo funcionan las system calls en Linux. Base para entender syscall hooking.

Puntos fuertes

Robert Love trabajó en el kernel Linux (contribuidor de GNOME, trabajó en Google Android). Autoridad real. Claro y conciso. 400 páginas vs las 1500 de Windows Internals. Cubre lo esencial sin perderse. Fundamentos atemporales. Los conceptos del kernel Linux cambian poco entre versiones.

Puntos débiles

Publicado en 2010 (kernel 2.6). Las APIs han evolucionado, pero los conceptos son los mismos. No cubre eBPF (que en 2026 es fundamental para monitorización). No es un libro de seguridad.

Veredicto

Si analizas malware Linux (cada vez más común con cloud y containers), este libro te da la base de kernel que necesitas. Complemento de Practical Binary Analysis (Andriesse) que cubre ELF y análisis de binarios Linux. Juntos: comprensión completa de malware Linux.