https://opennet.dev/openforum/vsluhforumID3/52471.html Anthony Lineberry подготовил (http://www.dtors.org/index/main/95) для конференции Black Hat Europe (http://www.blackhat.com/html/bh-europe-09/bh-eu-09-main.html), проходящей в Амстердаме с 14 по 17 апреля, доклад (http://www.dtors.org/papers/malicious-code-injection-via-dev-mem.pdf) (PDF, 100 Кб) с демонстрацией нового способа внедрения RootKit-кода в работающее ядро Linux системы. Суть метода основана на использовании интерфейс /dev/mem для прямой подстановки злонамеренного кода в области памяти ядра с организацией переброса управления непосредственно из любого участка кода ядра. <br><br><br>Например, возможно внедрение обработчиков нужных системных вызовов, не использующих какие-либо стандартные методы перехвата, что существенно усложняет обнаружение rootkit-а и значительно упрощает его код. Ранее rootkit обычно оформлялся в виде замаскированного модуля ядра, перехватывающего управление через LSM интерфейс или таблицу прерываний. Кроме того, для перехвата управления для руткита предлагалось...<br><br>URL: http://www.dar https://opennet.dev/openforum/vsluhforumID3/52471.html#53 Thu, 09 Jul 2009 01:01:27 GMT &gt;достаточно старый<br><br>Мягко сказано. Ему лет 10-12.<br><br><br><br> https://opennet.dev/openforum/vsluhforumID3/52471.html#52 Sun, 24 May 2009 20:33:34 GMT Нифига метод не новый - это раз. <br><br>И два - он не работает.<br> https://opennet.dev/openforum/vsluhforumID3/52471.html#50 Fri, 17 Apr 2009 09:23:44 GMT &gt;только руткиты в видеобиосе. <br><br>Кстати вон в соседней новости - рассказы про багу udev позволяющую проапгрейдиться до рута.Очень мило, как раз в тему - теперь поставить руткит может и просто лузер с птичьими правами иной раз :)<br><br> https://opennet.dev/openforum/vsluhforumID3/52471.html#49 Fri, 17 Apr 2009 09:13:12 GMT Про дыропад (вполне возможно, что много круче виндового) в следствии увеличения критической массы простых пользователей сказано выше (в посте, на который ты ответил). :) Кто его знает, не появится ли, когда-нибудь, Кидо дя Линя (коли критическая масса простых юзеров будет)?...<br> https://opennet.dev/openforum/vsluhforumID3/52471.html#48 Fri, 17 Apr 2009 07:09:48 GMT &gt;Винде, если сидеть не под Админом, тоже вполне безопасно...)... <br><br>от кидо тебя это не спасет :)<br> https://opennet.dev/openforum/vsluhforumID3/52471.html#47 Fri, 17 Apr 2009 07:07:59 GMT да, можно<br>самый простой способ cat /dev/rand &gt; /dev/mem<br> https://opennet.dev/openforum/vsluhforumID3/52471.html#46 Thu, 16 Apr 2009 17:00:43 GMT Правильно-ли я понял, что опция STRICT_DEVMEM появилась только в 2.6.25 (по умолчанию NO) =&gt; в RHEL,CentOS по умолчанию YES ?<br> https://opennet.dev/openforum/vsluhforumID3/52471.html#45 Thu, 16 Apr 2009 13:56:25 GMT По поводу получения рута...<br><br>Вот, к перимеру, один способ наметился: http://www.opennet.ru/opennews/art.shtml?num=21291 . А когда его исправят, то, думаю, еще, чего-нибудь, найдут...<br> https://opennet.dev/openforum/vsluhforumID3/52471.html#44 Thu, 16 Apr 2009 10:41:49 GMT Думаю, такие машины не имеют входа извне локалки, так что заДОСаный лог-сервер -- очень яркий признак того, что внутри сети нелады, а это противоречит тактике взломщика.<br>