TS
процесс в линуксе скрыть нельзя
Точно?
Size: a a a
2018 January 17
IA
Точно?
почти
IA
так или иначе это либо ядро, либо процесс
IA
если под рутом смотреть
TS
По идее это не тема данного чата, но вот мне интересно, можно ои в линуксе подменить ответ сисколла?
͏
По идее это не тема данного чата, но вот мне интересно, можно ои в линуксе подменить ответ сисколла?
Да
IA
ты можешь в линуксе все
IA
в этом его проблема
TS
Ну или procfs подменить на крайняк
͏
Есть у меня одна наработка, может релизну потом у себя в гитхабе
IA
ты в этом должен лучше меня понимать, так что вот тебе вброс, если кейлоггер делали на уровне ядра с дебагом и тд и тп, ну как тру систем девелоперы, тогда его хер обнаружишь
͏
На ядерном уровне модуль подгружаешь и все сисколлы твои
TS
Ну тогда список процессов на рутованной системе, да и вообще ядро запаришься расследовать
͏
Ну тогда список процессов на рутованной системе, да и вообще ядро запаришься расследовать
Поэтому нужно бутиться с другой системы и снимать дамп
TS
Тогда остается вариант проверить отпечатки ядра и модулей
TS
Какие еще есть варианты подгрузки кода в ядро?
IA
вообще было бы неплохо, если бы рхел уже реализовали свою фичу с подписанными частями ядра и софта системного
IA
и вообще я против балаганов в линухе
IA
пора системные инструменты закинуть как-то во все дистры
IA
один набор