The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_PRELOAD для скрытия, opennews (ok), 10-Июн-22, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


1. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –23 +/
Сообщение от n00by (ok), 10-Июн-22, 08:45 
"Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они, не шибко понимая, что говорят.
Ответить | Правка | Наверх | Cообщить модератору

4. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +19 +/
Сообщение от Анонимemail (4), 10-Июн-22, 08:50 
ну тут дело же в полученном изначально root-доступе, а не в самом механизме динамических библиотек
Ответить | Правка | Наверх | Cообщить модератору

6. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +4 +/
Сообщение от n00by (ok), 10-Июн-22, 08:55 
Дело в том, что я сейчас напишу "читайте Хоглунда", а эксперты по руткитам полезут в поисковик.
Ответить | Правка | Наверх | Cообщить модератору

56. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +7 +/
Сообщение от Аноним (56), 10-Июн-22, 12:41 
Я эксперт, только что вернулся из поисковика. При чём тут хоккей?!
Ответить | Правка | Наверх | Cообщить модератору

61. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +3 +/
Сообщение от n00by (ok), 10-Июн-22, 13:00 
Однофамилец того хоккеиста написал книжку про руткиты. Описал решаемые ими задачи и привёл примеры реализации. Переведена на русский язык. Вот здесь должно быть из неё код https://github.com/bowlofstew/rootkit.com/tree/master/hoglund
Ответить | Правка | Наверх | Cообщить модератору

100. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (-), 10-Июн-22, 17:54 
> https://github.com/bowlofstew/rootkit.com/tree/master/hoglund
> #include<windows.h>

В тему.

Ответить | Правка | Наверх | Cообщить модератору

102. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –1 +/
Сообщение от Аноним (-), 10-Июн-22, 18:38 
> #include "ntddk.h"

Это что, для маздая? Очень тематично пля, мне очень интересно как гадить в NTшный кернел, аж два раза.

Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

103. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от Аноним (-), 10-Июн-22, 18:39 
p.s. я буду рефрешить коменты до ответа. Я буду рефрешить коменты до ответа. Я буду рефрешить коменты до ответа...
Ответить | Правка | Наверх | Cообщить модератору

127. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 09:52 
Ответа кому? Смысл вести с вами дискуссии? На что вы, господа безымянные теоретики, можете сослаться для придания хоть какого-то веса своему мнению? Работа Хоглунда - какая-никакая, но уже классика. Описывает на частных примерах общие принципы, показывает развитие - каким оно было там и каким оно грядёт здесь.
Ответить | Правка | Наверх | Cообщить модератору

131. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от InuYasha (??), 11-Июн-22, 10:22 
Может, это те ребята, которые пишут "Dow do I wrote root kit for Linux?" на StackOverflow.
Ответить | Правка | Наверх | Cообщить модератору

138. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 11:21 
Вы хотеть, пожалуйста, посетить эту ссылка https://github.com/search?q=linux+rootkit
Я нажать "мне повезёт" и найти https://github.com/milabs/awesome-linux-rootkits

user mode rootkits

    https://github.com/mempodippy/vlany

    Linux LD_PRELOAD rootkit (x86 and x86_64 architectures)

    https://github.com/unix-thrust/beurk

    BEURK is an userland preload rootkit for GNU/Linux, heavily focused around anti-debugging and anti-detection.

    https://github.com/chokepoint/azazel

    Azazel is a userland rootkit based off of the original LD_PRELOAD technique from Jynx rootkit.

    https://github.com/chokepoint/Jynx2

    JynxKit2 is an LD_PRELOAD userland rootkit based on the original JynxKit.

    https://github.com/chokepoint/jynxkit

    JynxKit is an LD_PRELOAD userland rootkit for Linux systems with reverse connection SSL backdoor

    https://github.com/NexusBots/Umbreon-Rootkit

    LD_PRELOAD based

    https://github.com/ChristianPapathanasiou/apache-rootkit

    A malicious Apache module with rootkit functionality

Ответить | Правка | Наверх | Cообщить модератору

168. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 19:46 
> Ответа кому? Смысл вести с вами дискуссии? На что вы, господа безымянные
> теоретики, можете сослаться для придания хоть какого-то веса своему мнению? Работа
> Хоглунда - какая-никакая, но уже классика. Описывает на частных примерах общие
> принципы, показывает развитие - каким оно было там и каким оно грядёт здесь.

Понимаешь, человек, от ТЕБЯ много СПАМА. Бесполезного и/или офтопичного. Ты спамер. Который развел меня на клик вообще совсем офтопичной репы "хоккеиста" в гитхабе. Это нехорошо с твоей стороны в топике про линукс и то что под него водится.

1) Видишь ли, общие принципы руткитов, дебага, takeovera'а системы и проч достаточно просты в понимании - как общая концепция. Это может понять неглупый школьник.
2) Те кто минимально интересоваося темой может усвоить 1) довольно быстро. С намного меньшим объемом мучений нежели одупление в код с "ntddk.h".
3) Линь все же не винда и изучать тему на примере маздая при интересе к линуксу не работает. Это разные системы, с разными кишками, а самое сложное таки в конкретике и деталях а не в общих концепциях.
4) Максимум что ты смог показать про Linux это LD_PRELOAD баяны. Я и без тебя пару либ под LD_PRELOAD накодил, что как бы намекает на "уровень" такого "руткита". Коенчно я до руткита не доделывал, просто поиздевался над программами себе по приколу посмотреть как они на неожиданные отлупы реагируют. Но это та же технология, что намекает на общий ее "уровень". Это выбор чайников и нубов, ну или вот казуально поразвлечься впарив софту странные отлупы.

TL;DR было бы намного круче если бы ты какие-то продвинутости под линух показать мог, а не под маздай в ветке по линуксу. Но ты этого кажется не могешь. А гарцевать ntddk в ветке про линь таки фэйл. С аудиторией не угадал.

Ответить | Правка | К родителю #127 | Наверх | Cообщить модератору

187. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –1 +/
Сообщение от n00by (ok), 12-Июн-22, 11:55 
>> Ответа кому? Смысл вести с вами дискуссии? На что вы, господа безымянные
>> теоретики, можете сослаться для придания хоть какого-то веса своему мнению? Работа
>> Хоглунда - какая-никакая, но уже классика. Описывает на частных примерах общие
>> принципы, показывает развитие - каким оно было там и каким оно грядёт здесь.
> Понимаешь, человек, от ТЕБЯ много СПАМА. Бесполезного и/или офтопичного. Ты спамер.

Я отвечаю на твои бессмысленные сообщения, поскольку мне с такими как ты придётся неоднократно сталкиваться. Ты отнял моё время, я его отбиваю - изучаю фанатиков.

> Который
> развел меня на клик вообще совсем офтопичной репы "хоккеиста" в гитхабе.
> Это нехорошо с твоей стороны в топике про линукс и то
> что под него водится.

Ты влез в тему, в которой смыслишь на уровне обывательской интерпретации пары популярных гипотез. Это нехорошо с твоей стороны в топике про руткиты.

> 1) Видишь ли, общие принципы руткитов, дебага, takeovera'а системы и проч достаточно
> просты в понимании - как общая концепция. Это может понять неглупый
> школьник.

Ты не смог.

> 2) Те кто минимально интересоваося темой может усвоить 1) довольно быстро. С
> намного меньшим объемом мучений нежели одупление в код с "ntddk.h".
> 3) Линь все же не винда и изучать тему на примере маздая
> при интересе к линуксу не работает. Это разные системы, с разными
> кишками, а самое сложное таки в конкретике и деталях а не
> в общих концепциях.

Дай ссылку на свои труды по теме или прекрати трындеть.

> 4) Максимум что ты смог показать про Linux это LD_PRELOAD баяны. Я
> и без тебя пару либ под LD_PRELOAD накодил, что как бы
> намекает на "уровень" такого "руткита". Коенчно я до руткита не доделывал,
> просто поиздевался над программами себе по приколу посмотреть как они на
> неожиданные отлупы реагируют. Но это та же технология, что намекает на
> общий ее "уровень". Это выбор чайников и нубов, ну или вот
> казуально поразвлечься впарив софту странные отлупы.

Ясно. Просьба выше аннулируется. В первой её части. Ты ламер. Тебе нет смысла объяснять, я просто для других напишу: LD_PRELOAD решает в данном случае задачу не только закрепления в системе. Вторая задача ясно и понятно изложена в тексте новости.

> TL;DR было бы намного круче если бы ты какие-то продвинутости под линух
> показать мог, а не под маздай в ветке по линуксу. Но
> ты этого кажется не могешь. А гарцевать ntddk в ветке про
> линь таки фэйл. С аудиторией не угадал.

Ты не аудитория, сколько не пытайся изобразить толпу. Такими попытками лишь демонстрируешь неуверенность в своём мнении.

Ответить | Правка | Наверх | Cообщить модератору

223. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от torvn77 (ok), 14-Июн-22, 02:01 
>я просто для других напишу: LD_PRELOAD решает в данном случае задачу не только закрепления в системе.  

Этот хак с LD_PRELOAD работает с правами обычного пользователя с правами которого запущен или root необходим в принципе?  

Если без рута ни как вообще, то твои опасения безпредметны, и судя по тому как твой оппонет делал такие вещи таки права рута необходимы, иначе бы сейчас тварился полный абзац с вирусами.

Ответить | Правка | Наверх | Cообщить модератору

225. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 14-Июн-22, 07:54 
>>я просто для других напишу: LD_PRELOAD решает в данном случае задачу не только закрепления в системе.
> Этот хак с LD_PRELOAD работает с правами обычного пользователя с правами которого
> запущен или root необходим в принципе?

Напоминаю Unix-way: каждая программа хорошо делает своё дело.
1. "эксплоит" - получает права;
2. руткит - закрепляется в системе, скрывает присутствие, осуществляет атаку "человек посередине" -  всё это решается одним махом - _документированным_ и предназначенным именно для этого способом, т.е. не хаком, как это было бы в случае инъекций кода в чужие адресные пространства.

> Если без рута ни как вообще, то твои опасения безпредметны, и судя
> по тому как твой оппонет делал такие вещи таки права рута
> необходимы, иначе бы сейчас тварился полный абзац с вирусами.

"Оппонент" пока что не нашёл ничего лучше чем убеждать меня, что мы с коллегой не написали 15 лет назад реализацию стандартной библиотеки Си++, которая позволяет собирать std::cout << "hello" в 25кб исполняемый файл без зависимостей от C runtime. То есть скатился до отрицания объективной реальности.

Не надо уподобляться ему - изучайте вопрос. Начать можно так:
1. вбиваем LD_PRELOAD в поисковик
2. тыкаем наобум ссылку на журнал Ксакеп https://xakep.ru/2020/12/29/ld_preload-rootkit/
3. читаем:

К при­меру, если нам нуж­но пред­загру­зить биб­лиоте­ку ld.so, то у нас будет два спо­соба:
    Ус­тановить перемен­ную сре­ды LD_PRELOAD с фай­лом биб­лиоте­ки.
    За­писать путь к биб­лиоте­ке в файл /etc/ld.so.preload.
В пер­вом слу­чае мы объ­явля­ем перемен­ную с биб­лиоте­кой для текуще­го поль­зовате­ля и его окру­жения. Во вто­ром же наша биб­лиоте­ка будет заг­ружена рань­ше осталь­ных для всех поль­зовате­лей сис­темы.

Далее перепроверяем. Есть документация https://man7.org/linux/man-pages/man8/ld.so.8.html

       LD_PRELOAD
              A list of additional, user-specified, ELF shared objects
              to be loaded before all others.  This feature can be used
              to selectively override functions in other shared objects.

Есть исходники...

Ответить | Правка | Наверх | Cообщить модератору

38. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –2 +/
Сообщение от Аноним (38), 10-Июн-22, 11:43 
А не наоборот? Впрочем в линуксе всё прекрасно: тут вам и разделяемые библиотеки, тут вам и пакетные менеджеры, тут вам и наркоманский FHS... Всё для человека, ага.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

46. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +5 +/
Сообщение от n00by (ok), 10-Июн-22, 12:02 
Unix way - одна программа (не обсуждается в ветке) хорошо получает рут доступ, другая программа (руткит, обсуждается здесь и сейчас) хорошо закрепляется, для чего скрывает своё присутствие. Вот что прекрасно. :)
Ответить | Правка | Наверх | Cообщить модератору

109. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 21:21 
> А не наоборот? Впрочем в линуксе всё прекрасно: тут вам и разделяемые
> библиотеки, тут вам и пакетные менеджеры, тут вам и наркоманский FHS...
> Всё для человека, ага.

Пакетный менеджер имеет свои плюсы. Допустим в zlib нашли баг. Я поставил патченый пакет. Все программы в моей системе автоматически исправлены. И если я не качал хлам как маздаец я могу быть в этом более-менее уверен (после рестарта затронутых программ).

А теперь удачи так в маздайке. Вы врядли знаете сколько программ приперло _свой_ zlib.dll или даже статически влинковало его унутрь. Нету в маздайке культуры реюза кода и тем более его оперативного патчинга.

Поэтому есть отличная от ноля вероятность что вас можно до сих пор огреть винтажным, общеизвестным багом, если какая-то программа в вашей системе процессила внешние файлы или сетевой траффик такой либой. И ничего с этим в маздайке особо сделать нельзя. А вон пропатчьте мультиплеер HMM III в виндохном бинаре, которому можно по сети взять и укатать, за то что ископаемый zlib статически слинковали, дескать. А в этом моем линухе VCMI так то пропатчится на раз в таком же случае...

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

125. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –2 +/
Сообщение от Аноним (-), 11-Июн-22, 01:56 
> Я поставил патченый пакет. Все программы в моей системе автоматически отвалились

Исправил, не благодари

Ответить | Правка | Наверх | Cообщить модератору

169. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 19:51 
>> Я поставил патченый пакет. Все программы в моей системе автоматически отвалились
> Исправил, не благодари

Нехрен арчем и гентой в проде пользоваться. В нормальных дистрах майнтайнеры вот реально только вулн запалчат - и все! Чему там вообще отваливаться? Предпосылок нет. Заодно так наверное чуть понятнее почему у вменяемых дистров вместо гонки за свежаком специфичные полися по типу того что между релизами как максимум минорные версии подтягивают, но никаких крупных инноваций. Вот как раз чтобы прод не разваливался как у арчегент.

Ответить | Правка | Наверх | Cообщить модератору

220. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (220), 13-Июн-22, 20:24 
Накушался я этой стабильности в свое время. Так, навскидку пример: дебиан то ли 5, то ли 6 версии. Аська у которой полсотни рабочих контактов, майлру эту самую аську покупает и что-то меняет в протоколе. Дебиановский pidgin, само собой, работать по нему перестает. Этим контактам по фигу, у них винда - обновили свои клиенты и дальше живут (у кого-то миранда, у кого-то &RQ, у кого и официальный). А в дебиане или ставь пакет от убунты (с непредсказуемыми глюками по итогу), или собирай свежак из сорцов, или жди следующую стабильную версию этого самого дебиан годик-другой. В итоге плюнул, поставил винду и забыл про все эти дела как страшный сон
Ответить | Правка | Наверх | Cообщить модератору

128. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (38), 11-Июн-22, 09:55 
> Допустим в zlib нашли баг. Я поставил патченый пакет. Все программы в моей системе автоматически исправлены.

Об этом должен беспокоиться разработчик конкретной программы, а не разработчик ОС или тем более пользователь. Не?

Ответить | Правка | К родителю #109 | Наверх | Cообщить модератору

141. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (141), 11-Июн-22, 12:03 
Единое окружение операционной системы собирает разработчик ОС, а не автор конкретной программы, автор программы не знает кто, где и как будет программу использовать.
Ответить | Правка | Наверх | Cообщить модератору

144. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +3 +/
Сообщение от Аноним (38), 11-Июн-22, 12:23 
Вот поэтому самая правильная схема -- "ОС отдельно, программы отдельно".
Ответить | Правка | Наверх | Cообщить модератору

152. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 16:14 
В этом месте возникает конфликт интересов. Есть специальный человек - майнтайнер (почему-то не любят переводить на русский) - собирает программу под конкретную ОС. Этот человек принимает решения по устройству ОС. При этом указанная схема - это компетенция архитектора, насколько я понимаю.
Ответить | Правка | Наверх | Cообщить модератору

157. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 17:33 
> ОС отдельно
> программы отдельно

Дистрибутив AltMinixZverBD отдельно

Ответить | Правка | К родителю #144 | Наверх | Cообщить модератору

172. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 20:07 
> Вот поэтому самая правильная схема -- "ОС отдельно, программы отдельно".

Не, спасибо, я видел как это в маздае работает. Крайним почему-то я оказываюсь, убивая в цать раз больше времени на поддержание программ и системы в секурном состоянии и имея нежилые траблы с пониманием все ли реально up to date или нет. Извините но такое управление софтом и системой называется словом "маздай".

Ответить | Правка | К родителю #144 | Наверх | Cообщить модератору

175. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (38), 11-Июн-22, 21:09 
Ну не знаю... По-моему ситуация когда пользовательские приложения делят либы с осью -- это маразм высшей категории. В идеале наверное должно быть разделение на собственно операционную систему, системные утилиты и на пользовательские приложения, а как оно там будет слинковано -- над этим уже можно думать. Ну и с точки зрения безопасности приложения (за которое должен отвечать его автор, а не разработчик ОС или мэинтейнер) мне кажется, что лучше это изначально решать с помощью механизмов изоляции, чем гнаться без конца за свежими версиями библиотек.
Ответить | Правка | Наверх | Cообщить модератору

181. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 12-Июн-22, 03:16 
> Ну не знаю... По-моему ситуация когда пользовательские приложения делят либы с осью
> -- это маразм высшей категории.

А по моему...
1) В моем случае деление на "систему" и "пользовательские приложения" условно. Есть репы. Из репов я набираю ту или иную систему под ту или иную задачу, компонуя пакеты так или иначе. Нормальный модульный подход. Очень круто, ежели научиться им пользоваться. Можно кастомные образа систем под специфичные задачи кроить быстро и без напряга. А, извините, с маздайкой это не получится по еще более 9000 причин. Потому и называется маздайкой в моем лексиконе.

2) Либы обеспечивают очень эффективный code reuse. А также эффективное расходование ресурсов. Если вы в винде запустите пять кутевых программ, вы поимеете пять жирных копий приватных версий кутя в памяти. У меня будет висеть ОДНА копия библы кутей НА ВСЮ ОРАВУ. И жрать RAM один раз на все 5 программ.

3) Заменив либу на фикшеную я уверен что починилось ВСЕ. Ежели отучаться качать всякий варез с левых сайтов как маздайщики, конечно. Я конечно иногда качаю сорсы с разных реп, однако билдуется оно таки именно с теми же системными либами как и софт из дистров, а если результат нравится то он и в пакет заворачивается для порадка и трекинга чем еще я в системе намусорил.

4) Персонально я в гробу видел всякие варезоподобные проприетарные блобы. Это просто никогда не будет запущено на моих системах "for security reasons". Я для себя решил вот так. И это хрен оспоришь.

5) Кроме всего прочего 4) делает меня архитектурно независимым. Я могу все мои воркфлоу на любой процессорной архитектуре, будь то ARM64 или RISCV они вполне могут стать моей следующей платформой. И на моем персональном уровне я буду очень рад отделаться от х86 с всеми их ME, PSP, BootGuard'ами и secureboot-ами где я с ножом к горлу "должен" доверять мерзкософту. Нихрена я им не должен. Особенно - доверять их проприетарной блоботе и ключам.

> В идеале наверное должно быть разделение на собственно операционную систему,
> системные утилиты и на пользовательские приложения,

У меня как-то сильно другие идеалы, мне наоборот унифицированная модульная архитектура где я сам для себя решу что система - здорово удобнее. А с чего вдруг какие-то левые хрены лучше меня будут знать что я системой считаю, а что нет?

> а как оно там будет слинковано -- над этим уже можно думать. Ну и с точки
> зрения безопасности приложения (за которое должен отвечать его автор,

А мне вот удобно что всесто этого отвечают майнтайнеры, и ВСЕ они придерживаются характерных, унифицированных, ПРЕДСКАЗУЕМЫХ полисей. Которые мне достаточно прочитать и понять 1 раз а не 9000 раз - для каждой из установленных программ.

> а не разработчик ОС или мэинтейнер) мне кажется, что лучше это изначально решать
> с помощью механизмов изоляции, чем гнаться без конца за свежими версиями библиотек.

А мне вот удобно когда предсказуемые унифицированные политики применяются КО ВСЕМУ. И столь же удобно когда все унифицировано рулится, могу поставить эти компоненты, а эти выпилить. Сам решив что для меня система, и что нужно, а что в пень. В винде же майки это вообще никогда нормально не умели. Поэтому там и инсталл компонентов винды горбатый, и с софтом так же, а на 500 машин в автоматическом режиме софт поставить - не то что совсем нельзя, но там такие грабли со всем этим... а на линухе это даже нуб однострочником сможет за полчаса оформить, даже голыми руками, хотя есть дюжина систем автоматизации развивающие идею.

Как-то так и понимаешь что мощная система для продвинутого технаря которому не пофиг на свою эффективность, а что инструмент офисных планктошек обклацывающих 200 файлов вручную.

Ответить | Правка | Наверх | Cообщить модератору

196. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (38), 12-Июн-22, 14:07 
> Заменив либу на фикшеную я уверен что починилось ВСЕ

А остальной код вы проверили, вдруг в других местах тоже есть уязвимости? Запуская чужую программу ни в чём нельзя быть уверенным.

Ответить | Правка | Наверх | Cообщить модератору

203. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от Neon (??), 13-Июн-22, 03:42 
> Заменив либу на фикшеную я уверен что починилось ВСЕ.

Заменив либу на фикшеную, можно ВСЁ поломать.))) Классно поменяли.

Ответить | Правка | К родителю #181 | Наверх | Cообщить модератору

221. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (220), 13-Июн-22, 20:31 
> В идеале наверное должно быть разделение на собственно операционную систему, системные утилиты и на пользовательские приложения

Поздравляю, ты изобрел FreeBSD с ее делением на distributions и ports

Ответить | Правка | К родителю #175 | Наверх | Cообщить модератору

226. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 14-Июн-22, 08:10 
Спасибо, теперь я понял эти постоянные нападки на BSD. В GNU/Linux именно свобода, а не какие-то технические аспекты, запрещает линковаться статически.
Ответить | Правка | Наверх | Cообщить модератору

228. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 14-Июн-22, 17:26 
За что, среди прочего, фряху и люблю. Есть минимальный набор из загрузчика, ядра и всякой мелочевки вроде шелла и сишного компилятора - они фряху, собственно, и составляют и это добро разрабы фряхи пилят. А все остальное - порты, которые пилят авторы этого всего остального (для простоты к портам отношу не только сорцы, но и собранные из них пакеты). Ни тебе майнтайнеров, ни сотен сортов убунты, отличающихся только названиями и нескучными обоями, ни прочего ненужного вроде пафосных речей жирного нечесанного гуру. Да синтаксис pf, имхо, получше чем у iptables:)
Ответить | Правка | Наверх | Cообщить модератору

230. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 14-Июн-22, 17:55 
Что бы что-то перехватить в монолитном исполняемом файле, врезать инструкции перехода на свой код, в общем случае потребуется дизассемблер и гарантии, что модифицируемый код не исполняется. Т.е. девятый "Б" сходит со сцены. Гуру учит так не делать исходя из борьбы за всё хорошее против всего плохого. Ведь не просто Linux, а GNU/Linux. Этот момент я прохлопал, поскольку мало интересуюсь лицензиями.
Ответить | Правка | Наверх | Cообщить модератору

171. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 20:04 
> Об этом должен беспокоиться разработчик конкретной программы, а не разработчик ОС или
> тем более пользователь. Не?

Проблема в том что в результате
1) Все отдано на откуп легиону каких-то раздолбаев. Или не раздолбаев. Как повезет.
2) Никаких более-менее гарантированных однотипных политик реакции на вулны у Васянов нет. А у половины Васянов вообще не прописано как они на это реагируют - им просто пофиг.
3) Васян кстати ни разу не майнтайнер либы и только пользуется ей без заморочек. Поэтому за вулнами не следит.
4) Эффективного механизма пингануть всех "Васянов" пользовавшихся "zlib" с запросом это починить - в маздайке просто нет.

Итого: в линуксе содержать систему и софт в ней в надлежащем виде может быть в десятки раз проще. Я из винды на пингвины ушел, имел возможность сравнить как оно. И пакетный менеджер некисло меня разгружает от упомянутой рутины. Для меня это очень большой плюс Linux как системы. Все потуги майков, что vcpkg, что маздайстор решали что угодно кроме вот этого комплекса проблем. В осномном либо лок на свою экосистему, либо выцыганивание денег в пользу тех кому лично мне платить денег просто жалко, когда есть открыто, бесплатно и тупо лучше чем вон то.

Ответить | Правка | К родителю #128 | Наверх | Cообщить модератору

229. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 14-Июн-22, 17:35 
Ну так не пользуйся ненужным, в чем проблема-то? Если найдется уязвимость в каком-нибудь kernel32.dll - мелкомягкие ее сами закроют и в случае с динамической линковкой для тебя ничего не меняется.
Ответить | Правка | Наверх | Cообщить модератору

104. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (-), 10-Июн-22, 18:42 
> а не в самом механизме динамических библиотек

А еще злодей может имя файла использовать левое, название процесса непаливное назначать, и только подумайте - скачать и запустить файлы.

Если динамические либы плохи, тогда надо и наглухо readonly filesystem, а лучше и запуск программ для надежности запретить. Вдруг гамнюки что-то в RW подмонтировать смогут?!

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

12. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 10:21 
Жаль, что не получается составить список экспертов. Стесняются отметиться явно. С точки зрения руткита - отображение актуальной информации является нежелательным поведением. Он и исправляет "ошибку" документированным способом.

> Особенностью Simbiote является распространение в форме разделяемой библиотеки,
> которая подгружается во время запуска всех процессов при помощи механизма LD_PRELOAD
> и подменяет некоторые вызовы стандартной библиотеки.

Подгружается библиотека не сама собой, а (очень грубо) вот тут:


  /* Load all the libraries specified by DT_NEEDED entries.  If LD_PRELOAD
     specified some libraries to load, these are inserted before the actual
     dependencies in the executable's searchlist for symbol resolution.  */
  {
    RTLD_TIMING_VAR (start);
    rtld_timer_start (&start);
    _dl_map_object_deps (main_map, preloads, npreloads,
             state.mode == rtld_mode_trace, 0);
    rtld_timer_accum (&load_time, start);
  }

Из этого следуют интересные выводы:
1. обобщение "всех процессов" излишне пессимистично;
2. достаточно просто реализовать детектор руткита;
3. возможно построить систему так, что она окажется не подвержена атаке.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

19. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 11:02 
busybox
Ответить | Правка | Наверх | Cообщить модератору

26. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 11:27 
Ход мыслей правилен, но уровень абстракции не тот. См. ldd `which busybox`
Ответить | Правка | Наверх | Cообщить модератору

30. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от Аноним (-), 10-Июн-22, 11:31 
Статически слинкован, например с каким-нибудь экзотическим libc, который в добавок не знает про всякие переменные окружения LD_*
Ответить | Правка | Наверх | Cообщить модератору

32. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от n00by (ok), 10-Июн-22, 11:36 
Да, это решение. Но фанаты не одобряют.
Ответить | Правка | Наверх | Cообщить модератору

36. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от Аноним (-), 10-Июн-22, 11:41 
> Да, это решение.

Это решение только проблемы с LD_PRELOAD. А злоумышленник с рутом так и сидит в системе, по крайней мере до перезагрузк


Ответить | Правка | Наверх | Cообщить модератору

42. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 11:57 
>> Да, это решение.
> Это решение только проблемы с LD_PRELOAD.

Что и обсуждается в данной ветке.

Ответить | Правка | Наверх | Cообщить модератору

50. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 12:14 
В какой, в которой ключи ищут?

Ответить | Правка | Наверх | Cообщить модератору

53. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 12:22 
В ветке, которая началась с моего сообщения №1. Оно так понравилось экспертам. :)
Ответить | Правка | Наверх | Cообщить модератору

55. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 12:35 
Если обсуждают, что угодно, то изначальный тезис противоречивый, то есть троллинг.
Ответить | Правка | Наверх | Cообщить модератору

62. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –1 +/
Сообщение от n00by (ok), 10-Июн-22, 13:02 
Противоречий в тезисе нет. "Цитата" в кавычках верна, проблема с ошибками в библиотеках действительно так решается. И так действительно говорили. Обсуждают что угодно, поскольку не понимают предмет.
Ответить | Правка | Наверх | Cообщить модератору

70. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 13:30 
> "Цитата" в кавычках верна

Вопросов больше не имею

Ответить | Правка | Наверх | Cообщить модератору

72. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –1 +/
Сообщение от n00by (ok), 10-Июн-22, 13:38 
Вот и не надо зафлуживать ветку, если сказать по сути нечего. Затроллили его, бедненького, ага.
Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

20. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (20), 10-Июн-22, 11:04 
А если разрешать подгрузку только таких библиотек, у которых есть цифровая подпись?
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

21. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (-), 10-Июн-22, 11:09 
Что мешает подписать, если уже есть root-доступ?
Ответить | Правка | Наверх | Cообщить модератору

22. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от n00by (ok), 10-Июн-22, 11:15 
Так подписи будет раздавать RHBM. ;)
Ответить | Правка | Наверх | Cообщить модератору

23. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (-), 10-Июн-22, 11:21 
> RHBM

Не знаю кто это, но проверять тоже он будет или система, в которой кто-то шарится с рут-доступом (добавил свой свой сертификат и подписал им же - "доверенно")?

Ответить | Правка | Наверх | Cообщить модератору

24. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 11:24 
Куда именно добавил?
Ответить | Правка | Наверх | Cообщить модератору

25. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 11:26 
В "систему, которая проверяет"
Ответить | Правка | Наверх | Cообщить модератору

27. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 11:28 
Куда именно в "систему, которая проверяет"?
Ответить | Правка | Наверх | Cообщить модератору

35. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 11:39 
Куда надо. Конкретика должна исходить от того, кто предложил способ защиты злоумышленника с рут-доступом.
Ответить | Правка | Наверх | Cообщить модератору

43. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 11:58 
Защищающийся должен защитить систему. Атакующему он ничего не должен.
Ответить | Правка | Наверх | Cообщить модератору

45. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 12:01 
Какой из пользователей с UID=0 защитник, какой - атакующий?
Ответить | Правка | Наверх | Cообщить модератору

47. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 12:04 
Ищите ключи.
Ответить | Правка | Наверх | Cообщить модератору

49. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 12:12 
> Ищите ключи.

К кому запрос, к пользователю - защитнику или атакующему, который "нашел ключ", чтобы получить рут-доступ?

Ты же понимаешь, что для "защиты" нужны внесистемные инструменты.

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

52. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 12:20 
Я понимаю, что ключ пока никто не нашёл. Совсем нет вариантов?
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

54. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 12:30 
> Я понимаю, что ключ пока никто не нашёл. Совсем нет вариантов?

Злоумышленник с рутом - это кто? Тот, кто не "нашел ключ"?
Пока нет конкретики, то "злоумышленник с рутом" ничем не отличается "защитника с рутом".
Чтобы их различать, надо выйти за пределы системы, например, в ring -1,-2, tmp и прочий вендорлок security system.


Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

63. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 13:08 
Вопрос в №21  "Что мешает подписать, если уже есть root-доступ?"

Предложен сценарий атаки "подписать, если уже есть root-доступ". Но ключи не нашли. Отсутствие ключей и мешает подписать.

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

69. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 13:27 
Хочешь сказать, ключей в системе нет? Внесистемные инструменты?
Хотя, что мешает взломщику во взломанной системе взломать проверку ключей?
Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

74. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 13:41 
Социальная инженерия не работает. Не нашли ключи, не подписали, закрепиться предложенным способом не удалось, до свидания.
Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

77. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 14:05 
> Социальная инженерия не работает.

Еще один "верный" тезис.

> Не нашли ключи

Интересно, как в систему попали?

Защищающийся должен доказывать, что взломщик "не нашел ключей", а не наоборот: зашел через открытую форточку, а мог бы просто окно разбит и зайти.

Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

82. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 15:12 
>> Не нашли ключи
> Интересно, как в систему попали?

Кто? Вы? Нафантазировали, что куда-то попали. На этом фантазия закончилась.

> Защищающийся должен доказывать, что взломщик "не нашел ключей", а не наоборот: зашел
> через открытую форточку, а мог бы просто окно разбит и зайти.

Мне не надо ничего доказывать. Я знаю, почему вариантов, где хранятся ключи, предложено не будет. :)

Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

146. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (146), 11-Июн-22, 12:59 
> Я знаю, почему вариантов, где хранятся ключи, предложено не будет.

Потому что ты оффтопщик - админ подкроватного IIS-сервера, который сам не знает?

Ты давай конкретику, как ты защищаешь _скомпрометированную_ систему, которую лучше заморозить до абсолютного нуля и отдать в музей безопасникам.

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

147. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 13:33 
>> Я знаю, почему вариантов, где хранятся ключи, предложено не будет.
> Потому что ты оффтопщик - админ подкроватного IIS-сервера, который сам не знает?

Нет, ты не угадал, у меня нет IIS-сервера под кроватью.

> Ты давай конкретику, как ты защищаешь _скомпрометированную_ систему, которую лучше заморозить
> до абсолютного нуля и отдать в музей безопасникам.

Сначала расскажи, почему ты не смог её сам найти.

Ответить | Правка | К родителю #146 | Наверх | Cообщить модератору

148. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 14:01 
Что мне находить? Отключение integrity, когда у меня есть рут? Прописывание в загрузчик своего исправленного ядра со своими модулями, ключами, своей командной строкой, когда у меня есть рут? Какой еще вариант комбинаторного взрыва нужен, когда у меня есть рут?

Ты давай конкретику, как ты защищаешь уже взломанную систему? Вся эта твоя защита должна работать до взлома.

Эта новость - просто реклама службы безопасности, какие они "хорошие" нашли LD_PRELOAD во взломанной системе.

Ответить | Правка | К родителю #147 | Наверх | Cообщить модератору

151. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 15:57 
> Что мне находить?

Теряешь контекст? Требовал конкретику. У меня она есть и давно в виде кода. К данному сценарию, кстати, подходит.

> Отключение integrity, когда у меня есть рут? Прописывание в
> загрузчик своего исправленного ядра со своими модулями, ключами, своей командной строкой,
> когда у меня есть рут? Какой еще вариант комбинаторного взрыва нужен,
> когда у меня есть рут?
> Ты давай конкретику, как ты защищаешь уже взломанную систему? Вся эта твоя
> защита должна работать до взлома.

Ещё раз - я тебе ничего не должен. Я вижу, что дискутировать на данную тему с тобой нет смысла, поскольку ты не умеешь сценарий атаки сформулировать.

> Эта новость - просто реклама службы безопасности, какие они "хорошие" нашли LD_PRELOAD
> во взломанной системе.

Крайне глубокая мысль. Стоило с неё сразу начать и на ней закончить.

Ответить | Правка | К родителю #148 | Наверх | Cообщить модератору

153. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 16:55 
> Теряешь контекст? Требовал конкретику

Это ты давно потерял контекст. Раздул "проблему LD_PRELOAD" до размеров слона.

Ты, давай, показывай конкретику - свой недоступный код, который защищает от пользователя root.
Подсказка, недавно в ядро добавили "механизм" ограничения пользователя root.

Ответить | Правка | К родителю #151 | Наверх | Cообщить модератору

158. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 18:50 
>> Теряешь контекст? Требовал конкретику
> Это ты давно потерял контекст. Раздул "проблему LD_PRELOAD" до размеров слона.

Ты не проблема вовсе. Если ты не готов к конструктивному диалогу по вопросу LD_PRELOAD, но тебя триггернуло исходное сообщение и не даёт спокойно жить, я вынесу из "общения" с тобой иную пользу. Мне так или иначе придётся сталкиваться с фанатиками, с этим надо что-то делать, вас надо уметь вовремя распознать.

> Ты, давай, показывай конкретику - свой недоступный код, который защищает от пользователя
> root.

Давать тебе будет жена. Достаточно доходчиво?

> Подсказка, недавно в ядро добавили "механизм" ограничения пользователя root.

Рад за тебя, ты опять умудрился приплести пользователя root к другой теме.

Ответить | Правка | К родителю #153 | Наверх | Cообщить модератору

161. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 19:03 
> Если ты не готов к конструктивному диалогу по вопросу LD_PRELOAD

Какой конструктив, если ты не даешь никакой конкретики. Вместо этого скачешь то на проверку целостности (запускаемых) файлов, то обвиняешь непонятно в чём разделяемые библиотеки во взломанной системе.

Присутствие в системе руткита - это уже отсутствие доверия к системе, включая проверку целостности файлов, так как руткит уже обошел эту проверку. И неважно как попал в систему руткут - сознательно  или бессознательно.

Ответить | Правка | К родителю #158 | Наверх | Cообщить модератору

163. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 19:15 
>> Если ты не готов к конструктивному диалогу по вопросу LD_PRELOAD
> Какой конструктив, если ты не даешь никакой конкретики.

Успокойся уже. Сделай 10 вдохов. Сделал? Теперь читай дальше.

В №21 ты собрался что-то там подписывать. Цитирую:

"Что мешает подписать, если уже есть root-доступ?"

При этом ты не дал никакой конкретики, а попытался переложить бремя доказательства невозможности сферической конной атаки на оппонента.

Если бы ты предположил что-то вроде "у тебя подписи хранятся вон там? значит я делаю так" - это уже сценарий, его можно обсуждать.

> Вместо этого скачешь то
> на проверку целостности (запускаемых) файлов, то обвиняешь непонятно в чём разделяемые
> библиотеки во взломанной системе.
> Присутствие в системе руткита - это уже отсутствие доверия к системе, включая
> проверку целостности файлов, так как руткит уже обошел эту проверку. И
> неважно как попал в систему руткут - сознательно  или бессознательно.

В прошлом сообщении вместо "руткит" было "рут". Но скачу я, ага. ;)

Ответить | Правка | К родителю #161 | Наверх | Cообщить модератору

167. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 19:37 
Руткит - это "кит", который работает как "рут". С точки зрения системы ничем не отличима от человека-пользователя "рут"
Ответить | Правка | К родителю #163 | Наверх | Cообщить модератору

188. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 12-Июн-22, 12:08 
Аноним - это "им" "я", которого "нет". С точки зрения системы у твоего мнения нет источника.
Ответить | Правка | К родителю #167 | Наверх | Cообщить модератору

105. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 18:43 
> Так подписи будет раздавать RHBM. ;)

Пока-что я сам себе подписи на кернельные модули раздаю. А в чем проблема так же с либами и бинарями сделать?

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

129. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 10:16 
Для Вас не вижу проблем, коль сходу предлагаете решение. Исходники открыты, можно дорабатывать. А вот этим, у кого вся свобода заключается в "лишь бы не как в венде" и трендовых сетах иконок, RH/IBM и будет подписывать.
Ответить | Правка | Наверх | Cообщить модератору

204. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Neon (??), 13-Июн-22, 03:45 
А кто будет проверять контролера ?
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

209. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 13-Июн-22, 08:32 
Сами подписывайте, если никому не доверяете. Исходники открыты, возможность есть.
Ответить | Правка | Наверх | Cообщить модератору

28. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +2 +/
Сообщение от Аноним (28), 10-Июн-22, 11:28 
Подписывают на отдельном хосте, не подключенном к сети с рутуемыми серверами.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

29. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от n00by (ok), 10-Июн-22, 11:29 
Да, это один из вариантов. Но надо понимать, что в прошлый раз в итоге развития идеи появился SecureBoot. :)
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

48. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (20), 10-Июн-22, 12:07 
А если прямо им и воспользоваться, не мудрствуя лукаво...
Ответить | Правка | Наверх | Cообщить модератору

107. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 21:02 
> А если прямо им и воспользоваться, не мудрствуя лукаво...

Полная версия идеи секурбута так то проверять ВСЕХ на цепочке

ROM->бут->кернел->программы/либы

ROM не меняемый (накристальный или в R/O флехе). Это делает его anchor'ом которому можно доверять, если он знает доверяемый ключ. Он проверяет загрузчик. А тот ядро. Для продолжения цепочки ядро может отказаться запускать неподписанные программы. А (подписаный) лоадер динамических либ мог бы проверять и подпись либы, не грузя ее если подписи нет.

Таки да, полная реализация сложновата и ВСЕ дырки законоаптить в системе где о таком СРАЗУ не думали все же не очень просто. Поэтому ИНОГДА секурбутчиков посещают приколы с обломами.

Ответить | Правка | Наверх | Cообщить модератору

137. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от InuYasha (??), 11-Июн-22, 10:51 
Предлагаешь отключить _dl_map_object_deps всем-всем-всем из юзерспейса?
(с сисколами и проганьем под линукс знаком не очень)
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

139. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 11:41 
Зачем сразу запрещать. Было интересно, сколько возникнет подобных вопросов ("что с этим делать") и вариантов решений. Например, можно переименовать LD_PRELOAD... или перевести на русский.)
Ответить | Правка | Наверх | Cообщить модератору

155. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (-), 11-Июн-22, 16:59 
> Например, можно переименовать LD_PRELOAD

Вот это уровень!

Ответить | Правка | Наверх | Cообщить модератору

160. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 19:02 
>> Например, можно переименовать LD_PRELOAD
> Вот это уровень!

А то. Сджипиэлил из #30:

"не знает про всякие переменные окружения LD_*"

;)

Ответить | Правка | Наверх | Cообщить модератору

164. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (-), 11-Июн-22, 19:19 
> "переименовать" = "не знать"

"Научный подход" security by obscurity в действии!

Ответить | Правка | Наверх | Cообщить модератору

166. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 19:25 
>> "переименовать" = "не знать"
> "Научный подход" security by obscurity в действии!

Ну да. Зеркало то работает. Вон как ты себя разоблачаешь. =)

Ответить | Правка | Наверх | Cообщить модератору

60. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –3 +/
Сообщение от Аристарх (??), 10-Июн-22, 12:54 
Строго говоря, замена одной неисправной библиотечки не является уязвимостью, ЕСЛИ систему не писал бы кретuн Трольвадс! Это нормальная, рабочая операция, где главная проблема - защита оригинальной либы и руками одобренная замена. Ну то есть если вирус полезет её заменять, ему даст отлуп защита файлов. И даже если через неё он проскочит и запросит замену, система обязана иметь отдельный, защищённый модуль, ПЕРСОНАЛЬНО и ИНТЕРАКТИВНО спрашивающий, можно ли заменить вот эту одну либу.
Да, звучит как-то параноидально, но только так можно держать систему стабильной.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

66. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +4 +/
Сообщение от n00by (ok), 10-Июн-22, 13:11 
Торвальдс написал ядро. Здесь обсуждается механизм в пространстве пользователя. Советую извиниться за слова в адрес Линуса.
Ответить | Правка | Наверх | Cообщить модератору

73. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 13:40 
> Здесь обсуждается механизм в пространстве пользователя.

Только в пространстве пользователя, любой пользователь полностью изолирован от внешнего мира. Даже для того чтобы вывести "привет, мир" нужно дергать сискол.

Ответить | Правка | Наверх | Cообщить модератору

75. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 13:47 
> Даже для того чтобы вывести "привет, мир" нужно дергать сискол.

Самое удивительное, что руткит при этом не подгузится.

Ответить | Правка | Наверх | Cообщить модератору

78. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  –1 +/
Сообщение от Аноним (-), 10-Июн-22, 14:16 
> Самое удивительное, что руткит при этом не подгузится.

Как догадался, получил дамп выполненных в ring0 инструкций, проанализировал на вредоносность выполненные команды (полных по Тьюрингу)?

Ответить | Правка | Наверх | Cообщить модератору

81. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 15:11 
> я смотрю в сообщение №12 и вижу фигу.

Бывает. Продолжайте собирать пакетики.

Ответить | Правка | Наверх | Cообщить модератору

83. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (146), 10-Июн-22, 15:30 
> сообщение №12

И что там надо увидеть? То что, если поменять (логику) glibc, то glibc ведет себя по другому. Я уже предложил использовать другой libc (статически линковать), который понятия не имеет про LD_*.

Это решает только проблему с LD_PRELOAD. Это не решает проблему руткитов, когда уже есть рут-доступ.

Ответить | Правка | Наверх | Cообщить модератору

85. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 15:43 
> Это решает только проблему с LD_PRELOAD.
> Это не решает проблему руткитов, когда
> уже есть рут-доступ.

С какой конкретно целью Вы пытаетесь произвести подмену предмета обсуждения в ветке, где обсуждается эксплуатация механизма LD_PRELOAD?

Ответить | Правка | Наверх | Cообщить модератору

87. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 15:58 
Если есть рут доступ, можно подменить (вызовы) glibc своим "механизмом LD_PRELOAD" и другими "механизмами". Ты уже в скомпрометированной системе, это уже не твои "механизмы".
Ответить | Правка | Наверх | Cообщить модератору

92. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 16:16 
То есть цель озвучить не можете, но хотите пофлудить о сферическом коне в вакууме.

Аноним в №20 на чистой машине подписал исполняемые файлы. Ключ не нашли. Какие аргументы надо задать команде dd, что бы "подменить механизм"?

Ответить | Правка | Наверх | Cообщить модератору

94. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 10-Июн-22, 16:33 
> Аноним в №20

Продолжай скакать с ветки на ветку, обвиняя "Вы пытаетесь произвести подмену предмета обсуждения"

> подписал исполняемые файлы на чистой машине.

Нет, он подписал на другой машине/системе - внесистемное решение. При этом ничего не сказано про чистоту этих систем. И да, "подпись - это не безопасность, а бюрократия", как уже было сказано в обсуждении другой новости. Подписать можно и руткит.

Ответить | Правка | Наверх | Cообщить модератору

130. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 10:20 
> Нет, он подписал на другой машине/системе - внесистемное решение.

Зер гуд, Вольдемар. Я, я, дас штиммт! Тебе полагается тёплый суп.

Ответить | Правка | Наверх | Cообщить модератору

110. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Michael Shigorinemail (ok), 10-Июн-22, 21:23 
> ПЕРСОНАЛЬНО и ИНТЕРАКТИВНО спрашивающий

Может, ещё книжку для укладки на энтер услужливо подсовывающий?

Торвальдс не обидится, поскольку не прочёт -- а вот Даннинг с Крюгером где-то ехидно ухмыляются...

Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

90. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (90), 10-Июн-22, 16:01 
Да, позволяют.

Это ты смотрю не шибко понимаешь что такое разделяемые библиотеки.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

93. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 10-Июн-22, 16:20 
Чего мне понимать - в новости подробно описана "разделяемая библиотека":

скрывают связанную с бэкдором активность
исключают отдельные элементы в списке процессов
блокируют доступ к определённым файлам в /proc
скрывают файлы в каталогах
исключают вредоносную разделяемую библиотеку в выводе ldd
не показывают связанные с вредоносной активностью сетевые сокеты.

Видите такого суслика у себя? Нет. А он есть.

Ответить | Правка | Наверх | Cообщить модератору

101. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от Аноним (-), 10-Июн-22, 18:35 
> "Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они,

А таки позволяют. И еще обеспечивают code reuse. Мсье вероятно фанат игогошных бинарников с хелловорлдом весом 6 мегабайтов. Без динамических либ это получается как-то так.

p.s. а LF_PRELOAD таки довольно легко палится вещами типа "ps wwwaxe", так что руткит воображение не поражает.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

111. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Michael Shigorinemail (ok), 10-Июн-22, 21:24 
> p.s. а LF_PRELOAD таки довольно легко палится вещами типа "ps wwwaxe"

Некоторые, кстати, троянят procps, но не psmisc...

Ответить | Правка | Наверх | Cообщить модератору

142. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 12:14 
Это они не открыли Бритву Оккама - не надо прятать то, чего нет. Есть же ещё один хороший удобный механизм - DKMS.
Ответить | Правка | Наверх | Cообщить модератору

132. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +1 +/
Сообщение от n00by (ok), 11-Июн-22, 10:26 
>> "Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они,
> А таки позволяют. И еще обеспечивают code reuse. Мсье вероятно фанат игогошных
> бинарников с хелловорлдом весом 6 мегабайтов. Без динамических либ это получается
> как-то так.

Мсье, очевидно, теоретик. У меня на Си++ std::cout << "хелловорлд"; получался в 25 кб.

> p.s. а LF_PRELOAD таки довольно легко палится вещами типа "ps wwwaxe", так
> что руткит воображение не поражает.

Воображение поражает - что LF_PRELOAD это уровень ЧаВо на хеккерном форуме, оно работает, а эксперты зарывают голову в землю, подобно страусам.

Ответить | Правка | К родителю #101 | Наверх | Cообщить модератору

156. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 17:09 
> У меня на Си++ std::cout << "хелловорлд"; получался в 25 кб.

ldd покажешь?

Ответить | Правка | Наверх | Cообщить модератору

159. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 18:54 
Она не понимает PE/COFF.
Ответить | Правка | Наверх | Cообщить модератору

162. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 19:12 
> Она не понимает PE/COFF.

В тему.

Ответить | Правка | Наверх | Cообщить модератору

165. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 11-Июн-22, 19:20 
>> Она не понимает PE/COFF.
> В тему.

Ещё бы. Ведь это _у_тебя_ исполняемый файл 6 гигабайт и масса руткитов закрепляется штатным методом, будто бы так и надо, поэтому я клятый виндузятник. =) Ты думаешь, что я в Линуксе так не смогу сделать? Потому что сам не можешь.

Ответить | Правка | Наверх | Cообщить модератору

170. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (-), 11-Июн-22, 20:01 
Ты не виляй хвостом, показывай импорты и экспорты или как у там у вас оффтопщиков это называется. Можешь даже скриншотом, если с утилитами командной строки не справишься.
Ответить | Правка | Наверх | Cообщить модератору

189. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 12-Июн-22, 12:12 
Зачем я буду что-то тебе показывать? У меня нет давно Венды как и того экзешника, искать компилятор долго и лениво. Там в импорте должно быть WriteConsoleW() плюс пара функций из ntdll, всё это возможно адаптировать на сисколы Линукса. Ты не веришь людям, поскольку судишь по себе.
Ответить | Правка | Наверх | Cообщить модератору

193. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (146), 12-Июн-22, 12:48 
> Там в импорте должно быть WriteConsoleW()

Может ты сперва напишешь "привет мир" используя именно `std::cout`, потом будешь рассказывать кто кому что должен и не должен? Для справки `std::cout` - это экземпляр виртуального класса `std::ostream`.

Я бы еще понял, если бы был `printf`, вызов которого некоторые компиляторы в последнее время научились оптимизировать до вызова `puts`.

Ответить | Правка | Наверх | Cообщить модератору

194. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 12-Июн-22, 13:17 
>> Там в импорте должно быть WriteConsoleW()
> Может ты сперва напишешь "привет мир" используя именно `std::cout`, потом будешь рассказывать
> кто кому что должен и не должен?

Может ты внимательно прочтёшь №132?

"У меня на Си++ std::cout << "хелловорлд"; получался в 25 кб."

> Для справки `std::cout` -
> это экземпляр виртуального класса `std::ostream`.

Я это знаю. Даже реализацию всех классов по иерархии немножко знаю - в том числе я её и писал.

> Я бы еще понял, если бы был `printf`, вызов которого некоторые компиляторы
> в последнее время научились оптимизировать до вызова `puts`.

Это называется не "понял", а "эффект Даннинга-Крюгера".

Ответить | Правка | Наверх | Cообщить модератору

195. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (146), 12-Июн-22, 13:37 
Типичный оффтопщик, который пришел в тему про linux, и понтуется, что читал оффтопных авторитетов и нам советует.

Пришел, набросил, и забыл свой наброс. и продолжает набрасывать.

Ответить | Правка | Наверх | Cообщить модератору

197. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 12-Июн-22, 14:42 
Рекомендую тебе вести себя крайне осторожно, особенно с оценками, пока ты не осознаешь происходящее. У тебя сейчас порван шаблон.
Ответить | Правка | Наверх | Cообщить модератору

198. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (146), 12-Июн-22, 15:41 
> эффект Даннинга-Крюгера
> Рекомендую тебе вести себя крайне осторожно, особенно с оценками

Оценщик об оценках. Держишь уровень.

Ответить | Правка | К родителю #197 | Наверх | Cообщить модератору

208. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 13-Июн-22, 08:21 
Напоминаю, в №101 ты описал свой маня-мирок, в котором "хелловорлд весит 6 мегабайтов".
В реальном мире такое - при использовании статического связывания со стандартной библиотекой Си++ - весит существенно меньше сотни килобайт. Если убрать от "Си" "плюсы", окажется ещё меньше.

Я тебе больше скажу: в твоём маня-мирке тормозят "жирные смузи-жавасткрипты", а на деле загрузка на каждый чих ненужной библиотеки за 20 лет разогрела Землю на один градус.

Ответить | Правка | К родителю #198 | Наверх | Cообщить модератору

210. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (146), 13-Июн-22, 09:09 
> В реальном мире такое - при использовании статического связывания со стандартной библиотекой Си++ - весит существенно меньше сотни килобайт.

Ты, давай, показывай свой "привет" с использованием `#include <iostream>`, который "существенно меньше сотни килобайт" без "разделяемых библиотек, которые позволяют быстро исправлять ошибки".

> в твоём маня-мирке

Оценщик об оценках

Ответить | Правка | К родителю #208 | Наверх | Cообщить модератору

212. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 13-Июн-22, 09:38 
>> В реальном мире такое - при использовании статического связывания со стандартной библиотекой Си++ - весит существенно меньше сотни килобайт.
> Ты, давай, показывай свой "привет" с использованием `#include <iostream>`, который "существенно
> меньше сотни килобайт" без "разделяемых библиотек, которые позволяют быстро исправлять
> ошибки".

Ты мог бы уже сам найти, если бы умел немножко покликать мышкой и читать исходники.

Но мне интересно, что ты сейчас скажешь вот на это https://code.google.com/archive/p/ontl/wikis/HelloWorld.wiki

1. Гугль побил форматирование?
2. Это не то!
3. Клятый виндузятник!
4. ...

>> в твоём маня-мирке
> Оценщик об оценках

"а нас то за шо?" (ц)

Ответить | Правка | К родителю #210 | Наверх | Cообщить модератору

213. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (146), 13-Июн-22, 10:40 
> со стандартной библиотекой Си++
> ontl

Это `std` или поделка "студента", который залез в `namespace std`?

> Клятый виндузятник!

Разве это не так? Ты не дал ни одного своего примера для linux.

Ответить | Правка | К родителю #212 | Наверх | Cообщить модератору

214. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 13-Июн-22, 11:20 
>> со стандартной библиотекой Си++
>> ontl
> Это `std` или поделка "студента", который залез в `namespace std`?

Почему ты решил, что я буду объяснять тебе, что такое стандартная библиотека Си++? Пока я вижу в "диалоге" фанатика, который не способен найти и прочесть исходники. У тебя нет даже имени.

>> Клятый виндузятник!
> Разве это не так? Ты не дал ни одного своего примера для
> linux.

Кому? И зачем? Ты там что-то хотел подписать, но сдулся и поэтому принялся тупо флудить.

Ответить | Правка | К родителю #213 | Наверх | Cообщить модератору

215. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Аноним (146), 13-Июн-22, 11:31 
> Почему ты решил, что я буду объяснять тебе, что такое стандартная библиотека Си++?

Потому что ты не знаешь, что такое "стандартная библиотека Си++".

Нельзя залезать в `namespace std` - это UB. Надеюсь автор ontl это знает. Также я не разобрал все ключи вызова cl, но `/GR-` нагуглил - это отключение rtti, это тоже мимо стандартной библиотеки с++, это не с++

Держишь уровень.

Ответить | Правка | К родителю #214 | Наверх | Cообщить модератору

216. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 13-Июн-22, 13:19 
>> Почему ты решил, что я буду объяснять тебе, что такое стандартная библиотека Си++?
> Потому что ты не знаешь, что такое "стандартная библиотека Си++".

Что бы я начал что-то тебе объяснять, тебе следует меня заинтересовать. Вот сейчас я читаю про тоталитарные секты, очень интересно наблюдать, как третий день неизвестно кто хочет доказать мне непонятно что.

Если бы ты представился как, например, Степанов, я бы твою оценку принял во внимание, а пока...

> Нельзя залезать в `namespace std` - это UB.

Пока ты не смог дать релевантную цитату стандарта и как либо связать данное заявление с вышеприведённым примером.

> Надеюсь автор ontl это
> знает. Также я не разобрал все ключи вызова cl, но `/GR-`
> нагуглил - это отключение rtti, это тоже мимо стандартной библиотеки с++,
> это не с++

Пока ты показал, что не готов говорить о conforming implementation. Если для тебя /GR- - критерий, значит у Микрософт нет стандартной библиотеки. Похоже, ты всеми силами пытаешься склеить шаблон, но от твоего мнения объективная возможность получить для std::cout <<"привет"; исполняемый файл в 25 кб не исчезнет.

> Держишь уровень.

Что бы тебя зеркалить, надобно в некоторой мере соответствовать.

Ответить | Правка | К родителю #215 | Наверх | Cообщить модератору

217. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от Анонин (?), 13-Июн-22, 13:54 
https://eel.is/c++draft/namespace.std#1

> Unless otherwise specified, the behavior of a C++ program is undefined if it adds declarations or definitions to namespace std or to a namespace within namespace std.

На остальное, подтверждающее уровень, отвечать не буду

Ответить | Правка | К родителю #216 | Наверх | Cообщить модератору

219. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 13-Июн-22, 15:25 
> https://eel.is/c++draft/namespace.std#1
>> Unless otherwise specified, the behavior of a C++ program is undefined if it adds declarations or definitions to namespace std or to a namespace within namespace std.
> На остальное, подтверждающее уровень, отвечать не буду

Потому что ты за свои слова отвечать не способен в принципе, как уже было с "подпишу". На всякий случай понадеюсь, что у тебя от перевозбуждения на слово "секта" возникла когнитивная слепота, и повторю:

"Пока ты не смог ... и как либо связать данное заявление с вышеприведённым примером."

Ответить | Правка | К родителю #217 | Наверх | Cообщить модератору

231. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."  +/
Сообщение от n00by (ok), 15-Июн-22, 11:38 
Кстати, ты заметил, что ответил как Анонин - с "н" на конце? Мне интересно, это ты осознанно сделал, или "случайно" в процессе спора с объективной реальностью.
Ответить | Правка | К родителю #215 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру