Исходное сообщение
"Линус Торвальдс выдвинул ультиматум на приём патчей от разра..." Отправлено Аноним, 04-Апр-14 21:06
> Если мы уже в ядре и перехватываем операции с файлами - зачем > что-то делать с init? Нормальные герои всегда идут в обход? В моей речи выше было немного сарказма, понятное дело, что init трогать бессмысленно. >[оверквотинг удален] > себя из результата их выполнения. Ну то-есть если некто читает оглавление > диры - руткит выпилит себя из оглавления и отдаст результат в > котором его нет. Если некто читает патченый файл - руткит в > нужный момент подпихнет как результат чтения не то что реально на > диске записано, а то что ему надо. И делается это либо > на уровне системных вызовов ядра, либо на уровне вызова билбиотек, типа > приколов с LD_PRELOAD (для себя я написал либу которая не дает > программам файлы открывать, все время обрубая файловую операцию с левой ошибкой, > очень забавно смотреть на реакцию программ когда не удается ни 1 > файла прочесть или записать :P). Ага, да, конечно. А если загрузиться в LiveCD? Уже не удастся подменить системный вызов. Поэтому проще оставить файл на диске, просто обнулись счётчик ссылок на него. fsck по идее просто его удалит в случае чего, но кто догадается fsck запускать с LiveCD? Да и в загрузчике всегда можно спрятаться на всякий пожарный. >> ядро патчить а оперативке до загрузки системы, из загрузчика того же. > Поздравляю, все уже сперто до вас - это буткитом называется. Да понятное дело то. Я скорее пересказываю всё, что уже давно есть и активно применяется. Только никто об этом не знает.