forum.opennet.ru

"Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_PRELOAD для скрытия"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."	+/–
Сообщение от Аноним (-), 11-Июн-22, 20:35
> Классический способ по мотивам RootkitRevealer Руссиновича: пишем приложение, которое > получает список загруженных библиотек. На Си. Собираем в двух вариантах: обычная > линковка и статическая без внешних библиотек вообще (т.е. и без загрузчика). > Получаем два списка. Сравниваем. Имеем ввиду, что ядерные руткиты так не > детектируются. Еще можно врубить мозг - и черт с ним с русиновичем - у нас тут линукс же. Читаем ман на execve и кто такой env по факту. Пишем тупую как дрова программу печатающую свой env, который структурно что-то типа argv[] по смыслу. Т.е. просто регион в памяти, его печать не требует сисколов вообще, перехватывать так то нечего. И вот это очень на руку. А в чем пойнт? Даже если руткитчик попортит вывод ps и проч, если он глобально себя всем впихивает - пропатчить кус памяти с env, да еще после запуска программы, когда левая либа нам уже вгрузилась, но мы еще не получили инициативу (довольно узкое окно возможностей) не то чтобы невозможно, но технически довольно неудобно, не совсем очевидно и есть шанс что руткитчик про это тупо забыл или в силу возни забил. Конечно это не панацея, но чем более неожиданный фокус мы сделаем, тем менее вероятно что у руткита там "все схвачено".
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_PRELOAD для скрытия, opennews, 10-Июн-22, 08:45 [смотреть все]

Разделяемые библиотеки позволяют быстро исправлять ошибки - говорили они, не ш, n00by, 10-Июн-22, 08:45 (1) //
- ну тут дело же в полученном изначально root-доступе, а не в самом механизме дина, Аноним, 10-Июн-22, 08:50 (4) //
  - Дело в том, что я сейчас напишу читайте Хоглунда , а эксперты по руткитам полез, n00by, 10-Июн-22, 08:55 (6) //
    - Я эксперт, только что вернулся из поисковика При чём тут хоккей , Аноним, 10-Июн-22, 12:41 (56)
      - Однофамилец того хоккеиста написал книжку про руткиты Описал решаемые ими задач, n00by, 10-Июн-22, 13:00 (61)
        
        В тему , Аноним, 10-Июн-22, 17:54 (100)
        Это что, для маздая Очень тематично пля, мне очень интересно как гадить в NTшны, Аноним, 10-Июн-22, 18:38 (102)
        
        p s я буду рефрешить коменты до ответа Я буду рефрешить коменты до ответа Я б, Аноним, 10-Июн-22, 18:39 (103)
        
        Ответа кому Смысл вести с вами дискуссии На что вы, господа безымянные теорети, n00by, 11-Июн-22, 09:52 (127)
        
        Может, это те ребята, которые пишут Dow do I wrote root kit for Linux на Stac, InuYasha, 11-Июн-22, 10:22 (131)
        
        Вы хотеть, пожалуйста, посетить эту ссылка https github com search q linux roo, n00by, 11-Июн-22, 11:21 (138)
        
        Понимаешь, человек, от ТЕБЯ много СПАМА Бесполезного и или офтопичного Ты спам, Аноним, 11-Июн-22, 19:46 (168)
        
        Я отвечаю на твои бессмысленные сообщения, поскольку мне с такими как ты придётс, n00by, 12-Июн-22, 11:55 (187)
        
        Этот хак с LD_PRELOAD работает с правами обычного пользователя с правами которог, torvn77, 14-Июн-22, 02:01 (223)
        
        Напоминаю Unix-way каждая программа хорошо делает своё дело 1 эксплоит - пол, n00by, 14-Июн-22, 07:54 (225)
  - А не наоборот Впрочем в линуксе всё прекрасно тут вам и разделяемые библиотеки, Аноним, 10-Июн-22, 11:43 (38) //
    - Unix way - одна программа не обсуждается в ветке хорошо получает рут доступ, д, n00by, 10-Июн-22, 12:02 (46)
    - Пакетный менеджер имеет свои плюсы Допустим в zlib нашли баг Я поставил патчен, Аноним, 10-Июн-22, 21:21 (109)
      - Исправил, не благодари, Аноним, 11-Июн-22, 01:56 (125)
        
        Нехрен арчем и гентой в проде пользоваться В нормальных дистрах майнтайнеры вот, Аноним, 11-Июн-22, 19:51 (169)
        
        Накушался я этой стабильности в свое время Так, навскидку пример дебиан то ли , Аноним, 13-Июн-22, 20:24 (220)
      - Об этом должен беспокоиться разработчик конкретной программы, а не разработчик О, Аноним, 11-Июн-22, 09:55 (128)
        
        Единое окружение операционной системы собирает разработчик ОС, а не автор конкре, Аноним, 11-Июн-22, 12:03 (141)
        
        Вот поэтому самая правильная схема -- ОС отдельно, программы отдельно , Аноним, 11-Июн-22, 12:23 (144)
        
        В этом месте возникает конфликт интересов Есть специальный человек - майнтайнер, n00by, 11-Июн-22, 16:14 (152)
        Дистрибутив AltMinixZverBD отдельно, Аноним, 11-Июн-22, 17:33 (157)
        Не, спасибо, я видел как это в маздае работает Крайним почему-то я оказываюсь, , Аноним, 11-Июн-22, 20:07 (172)
        
        Ну не знаю По-моему ситуация когда пользовательские приложения делят либы с о, Аноним, 11-Июн-22, 21:09 (175)
        
        А по моему 1 В моем случае деление на систему и пользовательские приложени, Аноним, 12-Июн-22, 03:16 (181)
        
        А остальной код вы проверили, вдруг в других местах тоже есть уязвимости Запуск, Аноним, 12-Июн-22, 14:07 (196)
        Заменив либу на фикшеную, можно ВСЁ поломать Классно поменяли , Neon, 13-Июн-22, 03:42 (203)
        
        Поздравляю, ты изобрел FreeBSD с ее делением на distributions и ports, Аноним, 13-Июн-22, 20:31 (221)
        
        Спасибо, теперь я понял эти постоянные нападки на BSD В GNU Linux именно свобод, n00by, 14-Июн-22, 08:10 (226)
        
        За что, среди прочего, фряху и люблю Есть минимальный набор из загрузчика, ядра, Аноним, 14-Июн-22, 17:26 (228)
        Что бы что-то перехватить в монолитном исполняемом файле, врезать инструкции пер, n00by, 14-Июн-22, 17:55 (230)
        
        Проблема в том что в результате 1 Все отдано на откуп легиону каких-то раздолба, Аноним, 11-Июн-22, 20:04 (171)
        
        Ну так не пользуйся ненужным, в чем проблема-то Если найдется уязвимость в како, Аноним, 14-Июн-22, 17:35 (229)
  - А еще злодей может имя файла использовать левое, название процесса непаливное на, Аноним, 10-Июн-22, 18:42 (104)
- Жаль, что не получается составить список экспертов Стесняются отметиться явно , n00by, 10-Июн-22, 10:21 (12) //
  - busybox, Аноним, 10-Июн-22, 11:02 (19) //
    - Ход мыслей правилен, но уровень абстракции не тот См ldd which busybox , n00by, 10-Июн-22, 11:27 (26)
      - Статически слинкован, например с каким-нибудь экзотическим libc, который в добав, Аноним, 10-Июн-22, 11:31 (30)
        
        Да, это решение Но фанаты не одобряют , n00by, 10-Июн-22, 11:36 (32)
        
        Это решение только проблемы с LD_PRELOAD А злоумышленник с рутом так и сидит в , Аноним, 10-Июн-22, 11:41 (36)
        
        Что и обсуждается в данной ветке , n00by, 10-Июн-22, 11:57 (42)
        
        В какой, в которой ключи ищут , Аноним, 10-Июн-22, 12:14 (50)
        
        В ветке, которая началась с моего сообщения 8470 1 Оно так понравилось экспер, n00by, 10-Июн-22, 12:22 (53)
        
        Если обсуждают, что угодно, то изначальный тезис противоречивый, то есть троллин, Аноним, 10-Июн-22, 12:35 (55)
        
        Противоречий в тезисе нет Цитата в кавычках верна, проблема с ошибками в библ, n00by, 10-Июн-22, 13:02 (62)
        Вопросов больше не имею, Аноним, 10-Июн-22, 13:30 (70)
        Вот и не надо зафлуживать ветку, если сказать по сути нечего Затроллили его, бе, n00by, 10-Июн-22, 13:38 (72)
  - А если разрешать подгрузку только таких библиотек, у которых есть цифровая подпи, Аноним, 10-Июн-22, 11:04 (20) //
    - Что мешает подписать, если уже есть root-доступ , Аноним, 10-Июн-22, 11:09 (21)
      - Так подписи будет раздавать RHBM , n00by, 10-Июн-22, 11:15 (22)
        
        Не знаю кто это, но проверять тоже он будет или система, в которой кто-то шаритс, Аноним, 10-Июн-22, 11:21 (23)
        
        Куда именно добавил , n00by, 10-Июн-22, 11:24 (24)
        
        В систему, которая проверяет , Аноним, 10-Июн-22, 11:26 (25)
        
        Куда именно в систему, которая проверяет , n00by, 10-Июн-22, 11:28 (27)
        
        Куда надо Конкретика должна исходить от того, кто предложил способ защиты злоум, Аноним, 10-Июн-22, 11:39 (35)
        
        Защищающийся должен защитить систему Атакующему он ничего не должен , n00by, 10-Июн-22, 11:58 (43)
        
        Какой из пользователей с UID 0 защитник, какой - атакующий , Аноним, 10-Июн-22, 12:01 (45)
        Ищите ключи , n00by, 10-Июн-22, 12:04 (47)
        К кому запрос, к пользователю - защитнику или атакующему, который нашел ключ , , Аноним, 10-Июн-22, 12:12 (49)
        Я понимаю, что ключ пока никто не нашёл Совсем нет вариантов , n00by, 10-Июн-22, 12:20 (52)
        Злоумышленник с рутом - это кто Тот, кто не нашел ключ Пока нет конкретики, т, Аноним, 10-Июн-22, 12:30 (54)
        Вопрос в 8470 21 Что мешает подписать, если уже есть root-доступ Предложен , n00by, 10-Июн-22, 13:08 (63)
        Хочешь сказать, ключей в системе нет Внесистемные инструменты Хотя, что мешает , Аноним, 10-Июн-22, 13:27 (69)
        Социальная инженерия не работает Не нашли ключи, не подписали, закрепиться пред, n00by, 10-Июн-22, 13:41 (74)
        Еще один верный тезис Интересно, как в систему попали Защищающийся должен дока, Аноним, 10-Июн-22, 14:05 (77)
        Кто Вы Нафантазировали, что куда-то попали На этом фантазия закончилась Мне н, n00by, 10-Июн-22, 15:12 (82)
        Потому что ты оффтопщик - админ подкроватного IIS-сервера, который сам не знает , Аноним, 11-Июн-22, 12:59 (146)
        Нет, ты не угадал, у меня нет IIS-сервера под кроватью Сначала расскажи, почему , n00by, 11-Июн-22, 13:33 (147)
        Что мне находить Отключение integrity, когда у меня есть рут Прописывание в за, Аноним, 11-Июн-22, 14:01 (148)
        Теряешь контекст Требовал конкретику У меня она есть и давно в виде кода К да, n00by, 11-Июн-22, 15:57 (151)
        Это ты давно потерял контекст Раздул проблему LD_PRELOAD до размеров слона Ты, Аноним, 11-Июн-22, 16:55 (153)
        Ты не проблема вовсе Если ты не готов к конструктивному диалогу по вопросу LD_P, n00by, 11-Июн-22, 18:50 (158)
        Какой конструктив, если ты не даешь никакой конкретики Вместо этого скачешь то , Аноним, 11-Июн-22, 19:03 (161)
        Успокойся уже Сделай 10 вдохов Сделал Теперь читай дальше В 8470 21 ты соб, n00by, 11-Июн-22, 19:15 (163)
        Руткит - это кит , который работает как рут С точки зрения системы ничем не , Аноним, 11-Июн-22, 19:37 (167)
        Аноним - это им я , которого нет С точки зрения системы у твоего мнения не, n00by, 12-Июн-22, 12:08 (188)
        
        Пока-что я сам себе подписи на кернельные модули раздаю А в чем проблема так же, Аноним, 10-Июн-22, 18:43 (105)
        
        Для Вас не вижу проблем, коль сходу предлагаете решение Исходники открыты, можн, n00by, 11-Июн-22, 10:16 (129)
        
        А кто будет проверять контролера , Neon, 13-Июн-22, 03:45 (204)
        
        Сами подписывайте, если никому не доверяете Исходники открыты, возможность есть, n00by, 13-Июн-22, 08:32 (209)
      - Подписывают на отдельном хосте, не подключенном к сети с рутуемыми серверами , Аноним, 10-Июн-22, 11:28 (28)
    - Да, это один из вариантов Но надо понимать, что в прошлый раз в итоге развития , n00by, 10-Июн-22, 11:29 (29)
      - А если прямо им и воспользоваться, не мудрствуя лукаво , Аноним, 10-Июн-22, 12:07 (48)
        
        Полная версия идеи секурбута так то проверять ВСЕХ на цепочкеROM- бут- кернел- п, Аноним, 10-Июн-22, 21:02 (107)
  - Предлагаешь отключить _dl_map_object_deps всем-всем-всем из юзерспейса с сискол, InuYasha, 11-Июн-22, 10:51 (137) //
    - Зачем сразу запрещать Было интересно, сколько возникнет подобных вопросов что, n00by, 11-Июн-22, 11:41 (139)
      - Вот это уровень , Аноним, 11-Июн-22, 16:59 (155)
        
        А то Сджипиэлил из 30 не знает про всякие переменные окружения LD_ , n00by, 11-Июн-22, 19:02 (160)
        
        Научный подход security by obscurity в действии , Аноним, 11-Июн-22, 19:19 (164)
        
        Ну да Зеркало то работает Вон как ты себя разоблачаешь , n00by, 11-Июн-22, 19:25 (166)
- Строго говоря, замена одной неисправной библиотечки не является уязвимостью, ЕСЛ, Аристарх, 10-Июн-22, 12:54 (60) //
  - Торвальдс написал ядро Здесь обсуждается механизм в пространстве пользователя , n00by, 10-Июн-22, 13:11 (66) //
    - Только в пространстве пользователя, любой пользователь полностью изолирован от в, Аноним, 10-Июн-22, 13:40 (73)
      - Самое удивительное, что руткит при этом не подгузится , n00by, 10-Июн-22, 13:47 (75)
        
        Как догадался, получил дамп выполненных в ring0 инструкций, проанализировал на в, Аноним, 10-Июн-22, 14:16 (78)
        
        Бывает Продолжайте собирать пакетики , n00by, 10-Июн-22, 15:11 (81)
        
        И что там надо увидеть То что, если поменять логику glibc, то glibc ведет себ, Аноним, 10-Июн-22, 15:30 (83)
        
        С какой конкретно целью Вы пытаетесь произвести подмену предмета обсуждения в ве, n00by, 10-Июн-22, 15:43 (85)
        
        Если есть рут доступ, можно подменить вызовы glibc своим механизмом LD_PRELOA, Аноним, 10-Июн-22, 15:58 (87)
        
        То есть цель озвучить не можете, но хотите пофлудить о сферическом коне в вакуум, n00by, 10-Июн-22, 16:16 (92)
        
        Продолжай скакать с ветки на ветку, обвиняя Вы пытаетесь произвести подмену пре, Аноним, 10-Июн-22, 16:33 (94)
        Зер гуд, Вольдемар Я, я, дас штиммт Тебе полагается тёплый суп , n00by, 11-Июн-22, 10:20 (130)
  - Может, ещё книжку для укладки на энтер услужливо подсовывающий Торвальдс не обид, Michael Shigorin, 10-Июн-22, 21:23 (110)
- Да, позволяют Это ты смотрю не шибко понимаешь что такое разделяемые библиотеки , Аноним, 10-Июн-22, 16:01 (90) //
  - Чего мне понимать - в новости подробно описана разделяемая библиотека скрывают, n00by, 10-Июн-22, 16:20 (93)
- А таки позволяют И еще обеспечивают code reuse Мсье вероятно фанат игогошных б, Аноним, 10-Июн-22, 18:35 (101) //
  - Некоторые, кстати, троянят procps, но не psmisc , Michael Shigorin, 10-Июн-22, 21:24 (111) //
    - Это они не открыли Бритву Оккама - не надо прятать то, чего нет Есть же ещё оди, n00by, 11-Июн-22, 12:14 (142)
  - Мсье, очевидно, теоретик У меня на Си std cout хелловорлд получался в , n00by, 11-Июн-22, 10:26 (132) //
    - ldd покажешь , Аноним, 11-Июн-22, 17:09 (156)
      - Она не понимает PE COFF , n00by, 11-Июн-22, 18:54 (159)
        
        В тему , Аноним, 11-Июн-22, 19:12 (162)
        
        Ещё бы Ведь это _у_тебя_ исполняемый файл 6 гигабайт и масса руткитов закрепляе, n00by, 11-Июн-22, 19:20 (165)
        
        Ты не виляй хвостом, показывай импорты и экспорты или как у там у вас оффтопщико, Аноним, 11-Июн-22, 20:01 (170)
        
        Зачем я буду что-то тебе показывать У меня нет давно Венды как и того экзешника, n00by, 12-Июн-22, 12:12 (189)
        
        Может ты сперва напишешь привет мир используя именно std cout , потом будешь, Аноним, 12-Июн-22, 12:48 (193)
        
        Может ты внимательно прочтёшь 8470 132 У меня на Си std cout хелловорл, n00by, 12-Июн-22, 13:17 (194)
        
        Типичный оффтопщик, который пришел в тему про linux, и понтуется, что читал оффт, Аноним, 12-Июн-22, 13:37 (195)
        Рекомендую тебе вести себя крайне осторожно, особенно с оценками, пока ты не осо, n00by, 12-Июн-22, 14:42 (197)
        Оценщик об оценках Держишь уровень , Аноним, 12-Июн-22, 15:41 (198)
        Напоминаю, в 8470 101 ты описал свой маня-мирок, в котором хелловорлд весит 6, n00by, 13-Июн-22, 08:21 (208)
        Ты, давай, показывай свой привет с использованием include iostream , котор, Аноним, 13-Июн-22, 09:09 (210)
        Ты мог бы уже сам найти, если бы умел немножко покликать мышкой и читать исходни, n00by, 13-Июн-22, 09:38 (212)
        Это std или поделка студента , который залез в namespace std Разве это не т, Аноним, 13-Июн-22, 10:40 (213)
        Почему ты решил, что я буду объяснять тебе, что такое стандартная библиотека Си , n00by, 13-Июн-22, 11:20 (214)
        Потому что ты не знаешь, что такое стандартная библиотека Си Нельзя залезать, Аноним, 13-Июн-22, 11:31 (215)
        Что бы я начал что-то тебе объяснять, тебе следует меня заинтересовать Вот сейч, n00by, 13-Июн-22, 13:19 (216)
        https eel is c draft namespace std 1На остальное, подтверждающее уровень, отв, Анонин, 13-Июн-22, 13:54 (217)
        Потому что ты за свои слова отвечать не способен в принципе, как уже было с под, n00by, 13-Июн-22, 15:25 (219)
        Кстати, ты заметил, что ответил как Анонин - с н на конце Мне интересно, это , n00by, 15-Июн-22, 11:38 (231)
Вот это в мире ненавистной Венды называется нубкит поскольку там перехват сис, n00by, 10-Июн-22, 08:47 (2) //
- А не системные вызовы , Аноним, 10-Июн-22, 11:34 (31) //
  - Надысь тут один специалист по Венде спрашивал, что такое подсистема Win32 Так, n00by, 10-Июн-22, 11:49 (40)
- диэлэл-хайджакин это называется в венде , Big Robert TheTables, 10-Июн-22, 11:57 (41)
- А кого интересует мир венды в котором ничерта толком не работает А дизайн с деф, Аноним, 10-Июн-22, 16:00 (89) //
  - Да что там окна, попробуйте хотя бы инъекцию dll по Рихтеру сделать, что бы скры, n00by, 10-Июн-22, 16:03 (91) //
    - У винды есть и некий почти полный эквивалент LD_PRELOAD через реестр вроде Хотя, Аноним, 10-Июн-22, 23:06 (116)
      - Там в реестре наверняка много всякого интересного, и даже тело трояна можно найт, n00by, 11-Июн-22, 10:34 (133)
        
        Ну вот сколько я себя помню, в винде всегда было более 9000 способов налететь на, Аноним, 11-Июн-22, 20:25 (173)
        
        Вот именно, что чёрт знает Тут стоит читать не Хоглунда, а начинать с Рихтера, , n00by, 12-Июн-22, 12:34 (190)
  - Цвет рамок окон, конечно, имеет прямейшее отношение к дискуссии , Аноним, 10-Июн-22, 17:20 (96)
  - Поставь себе третьегном, не мучайся , Аноним, 11-Июн-22, 00:58 (122)
  - Так и не поймешь, трололо или фанбой из 90х, Аноним, 14-Июн-22, 17:03 (227)
Дальше будет только хуже , Аноним, 10-Июн-22, 08:48 (3)
А ссылка на исходники где , Аноним, 10-Июн-22, 08:55 (7) //
- Насколько я могу помнить, исходные коды подобного программного обеспечения, как , Адмирал Майкл Роджерс, 10-Июн-22, 13:12 (67)
когда мамкины хакепы полностью освоят ebpf, тогда линукс будет дырявее винды, Аноним, 10-Июн-22, 09:41 (8) //
- Но для пользования eDPF у нормальных пацанов нужен root А если есть root, то и , Аноним, 10-Июн-22, 11:38 (34) //
  - Ага, только у приличных людей там ща подписи на модули навешены И тебе еще ключ, Аноним, 10-Июн-22, 18:45 (106) //
    - Далеко у всех приличных людей Подписывать модули это уже почти ракетная наука , Аноним, 11-Июн-22, 23:19 (178)
      - Эта ракетная наука для стоковых модулей вообше билдсистемой кернела ворочается с, Аноним, 12-Июн-22, 03:29 (182)
    - А кто будет проверять подписантам Или джентльменам принято верить на слово , Neon, 13-Июн-22, 03:48 (205)
- Не будет Дырявее и корявее венды уже не будет ничего , Аноним, 10-Июн-22, 15:58 (88) //
  - Дырка номер 100500 в линупce, но плохая все равно винда Чотаржу, Аноним, 11-Июн-22, 01:53 (124) //
    - Ты ещё далеко не все вендовые пересчитал , Аноним, 11-Июн-22, 23:20 (179)
      - В винде не дыры, а отверстия , InuYasha, 12-Июн-22, 11:04 (184)
Еще никогда s Штирлиц s товарищ майор не был так близко к провалу с , EuPhobos, 10-Июн-22, 09:49 (9)
Офигенный вирус Реквестирую сырцы под копилефт лицензией , Аноним, 10-Июн-22, 10:20 (11) //
- root-доступ, который может быть получен, например, в результате эксплуатаци, Аноним, 10-Июн-22, 10:40 (17)
- уже ничего особенного, дыры типа как в polkit, Аноним, 10-Июн-22, 13:36 (71)
Оригинально , Аноним, 10-Июн-22, 10:49 (18)
Интересно, кто бы мог это написать и для чего ещё оно используется 129300 , Аноним, 10-Июн-22, 11:38 (33) //
- След русских хакеров , Аноним, 10-Июн-22, 11:42 (37) //
  - Нанятых бразильским центробанком по поручению спецслужб , Аноним, 10-Июн-22, 11:58 (44)
- NSA, for example , Аноним, 10-Июн-22, 13:09 (64)
Так Simbiote или Symbiote , Аноним, 10-Июн-22, 11:44 (39)
Где скачать b , Аноним, 10-Июн-22, 12:18 (51) //
- У себя в ЛА-банке, очевидно , Michael Shigorin, 10-Июн-22, 21:28 (113)
например, исключают отдельные элементы в списке процессов - вот почему бара, Аристарх, 10-Июн-22, 12:46 (57) //
- Да, как грамотный подход в BSD , Аноним, 10-Июн-22, 13:09 (65) //
  - Он обычно оказывается не от мира сего И единственная причина по которой джо неу, Аноним, 11-Июн-22, 00:40 (121)
- Пока кто-то не встроил свой фильтр в этот API и не оказалось, что системщик полу, Аноним, 10-Июн-22, 17:23 (97)
- Вы так и будете старательно доказывать, что лично Вам не натянуть даже кол нет,, Michael Shigorin, 10-Июн-22, 21:31 (114)
- И каждый первый хацкер будет пытаться это апи перехватить Потому что нерушимый , Аноним, 10-Июн-22, 23:13 (118)
- Линус был блатной мажор при дедушке профессоре Вот и позволял себе лишнее Попр, Neon, 13-Июн-22, 03:50 (206) //
  - Что ты несешь Торвальдс никогда не учился у Таненбаума, блин Таненбаум преподав, hefenud, 13-Июн-22, 09:26 (211)
А вот и встроенный бэкдор ёBPF снова пригодился , Онаним, 10-Июн-22, 12:48 (58) //
- Основной плюс ёBPF в том, что теперь бэкдоры могут одинаково хорошо работать на , Онаним, 10-Июн-22, 12:49 (59) //
  - Вне контекста верно, но как я понимаю к данному бекдору не относится - в новости, solardiz, 10-Июн-22, 16:53 (95) //
    - То есть эта штука еще и патчер eBFP программ А вот это уже креативно, LD_PRELOA, Аноним, 10-Июн-22, 21:06 (108)
    - Спасибо и подстановка дополнительного кода в загружаемые в ядро BPF-программы , Michael Shigorin, 10-Июн-22, 21:33 (115)
      - Да Спасибо И можно на ты , solardiz, 11-Июн-22, 00:28 (119)
Развесистая штуковина Походу, толковые ребята писали , YetAnotherOnanym, 10-Июн-22, 13:14 (68) //
- Вы про eBPF , anonymous, 10-Июн-22, 15:03 (80)
хакеры не спят, Аноним12345, 10-Июн-22, 13:53 (76)
Хакер и солонка, гоквч, 10-Июн-22, 14:44 (79)
почему никто ещё не задумался отчего такой путь обнаружен пока только в фин учре, Аноним, 10-Июн-22, 15:34 (84) //
- жырно шо аж Михоил не стал клевать, mos87, 11-Июн-22, 12:21 (143)
Как такую срань найти , Andy, 10-Июн-22, 21:26 (112) //
- Для начала зазырить переменные окружения любым известным вам способом и если там, Аноним, 10-Июн-22, 23:09 (117) //
  - Тут лучше не любым известным, а загрузив чистую систему с внешнего накопителя , n00by, 11-Июн-22, 10:47 (135) //
    - Дык при загрузке с флешки LD_Preload будет с флешкиА смотреть на всхаченной сист, Andy, 11-Июн-22, 15:03 (149)
      - В чистой системе , n00by, 11-Июн-22, 15:52 (150)
      - Как вариант, запустить что-либо с LD_PRELOAD и убедиться в том, что свой LD_PREL, швондер, 11-Июн-22, 16:57 (154)
        
        Руткит фильтрует чтение из proc пид mapsПо поводу детекта замером времени испол, n00by, 12-Июн-22, 12:47 (192)
        
        у вас неверное понимание , швондер, 12-Июн-22, 16:40 (199)
        
        Я так полагаю, Вы где-то уже апробировали предлагаемую методику, раз такое заявл, n00by, 13-Июн-22, 08:10 (207)
        
        Поскольку не последовало внятного объяснения, как предполагается обеспечить дост, n00by, 16-Июн-22, 08:15 (235)
- Классический способ по мотивам RootkitRevealer Руссиновича пишем приложение, ко, n00by, 11-Июн-22, 10:44 (134) //
  - Еще можно врубить мозг - и черт с ним с русиновичем - у нас тут линукс же Читае , Аноним, 11-Июн-22, 20:35 (174) //
    - К каким ножкам процессора подпаиваем принтер , n00by, 12-Июн-22, 12:45 (191)
- 1 Подписываешь чистые бинари и библиотеки 2 Запускаешь tail -f var log lo, Аноним, 15-Июн-22, 15:15 (232) //
  - Это всего лишь вопрос времени, когда руткиты начнут писать на накопитель в обход, n00by, 15-Июн-22, 15:46 (233) //
    - А мы не только ФС в режиме только для чтения держим, но и само блочное устройств, Аноним, 23-Июн-22, 19:28 (236)
      - И запуск драйверов заблокировали И изучили накопленный опыт атак на альтернатив, n00by, 24-Июн-22, 06:48 (237)
систему атакующий должен иметь root-доступ -- да уж, srgazh, 11-Июн-22, 00:28 (120) //
- рассказать способы, или сам загуглишь новости о многолетних дырах , Аноним, 11-Июн-22, 21:33 (177) //
  - Расскажи мне Мне очень нужно 8ой ведроид рутануть , InuYasha, 12-Июн-22, 11:26 (186)
Дальше не читал , pavlinux, 11-Июн-22, 01:09 (123) //
- Зер гуд, Вольдемар , n00by, 11-Июн-22, 10:51 (136)
- да хоть через дыры в polkit заиметь сейчас рут - вообще не проблема , Аноним, 11-Июн-22, 21:32 (176) //
  - 3аймей, хyцкep йoпт https git kernel org , pavlinux, 12-Июн-22, 21:46 (202)
Хорошая реклама Где мне его взять , microsoft, 11-Июн-22, 08:16 (126) //
- У Микрософта же https github com search q LD_PRELOAD rootkit, n00by, 11-Июн-22, 12:35 (145)
неплохо, mos87, 11-Июн-22, 11:44 (140)
Решил поизучать сети Поставил в Ubuntu анализатор Wireshark При первом запуске , У меня вопрос, 11-Июн-22, 23:59 (180) //
- man dumpcap не пробовали Это прога из комплекта wireshark для захвата сетевог, Аноним, 12-Июн-22, 03:39 (183) //
  - А я один юзер в системе, домашний комп D, Аноним, 12-Июн-22, 20:45 (200) //
    - Нет, ты - один из юзеров в системе, который думает, что он - Один или един , Аноним, 13-Июн-22, 14:11 (218)
    - cat etc passwd, Аноним, 13-Июн-22, 20:47 (222)
    - А почему wireshark dumpcap через sudo не запускает , torvn77, 14-Июн-22, 02:09 (224)
      - Не знаю, я не пробовал Я запускаю Wireshark ярлыком , Аноним, 15-Июн-22, 23:32 (234)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру