> эти придурки научаться грамотно внедрятся в систему, модифицируя исполняемые файлы ?Нормальный подход для эффективного перехвата вызовов - LD_PRELOAD или ядерный модуль. И бинари патчить не надо, и любой вызов можно переколпачить. Кому для отладки и изучения, кому для втирания очков окружающим.
> Ведь для этого не нужно патчить исполняемый файл, а достаточно модифцировать исходники,
Учись, лох:
$ LD_PRELOAD=./mylib.so /bin/bash
...
$ cat /etc/passwd
Process 24742 attempted to open the file: /etc/passwd
cat: /etc/passwd
Как видишь, я не менял ни бита в bash, и тем более не геморроился с его компилом. НО он и его потомок cat не могут пойти и открыть /etc/passwd. Потому что либа решила что нефиг. И в своей реализации open() отлупила -EPERM, хоть это и неправда :). Аналогично можно и при чтении из файла вернуть какую-нибудь требуху. То что ты посчитал чексумм - это замечательно. А кто сказал что это были вообще данные того файла который ты попросил? Ты же понимаешь, что считалке чексумм можно показывать правильный файл, а что там на самом деле по факту - ну ты понял.
> потереть все логи какие только можно.
Такая наглая диверсия заметна даже не очень компетентному админу. А вот упоминание себя - уважающие себя хаксоры из логов честно выпилят.
> Когда научатся скрывать не только следы в виде файлов но и скрывать
> процессы перехватывая системные вызовы от всяких top, netstat, who и прочего?
Ну вон тебе пример с LD_PRELOAD. Любой школьник за 15 минут такую либу может написать, если не совсем тyпой. Почему эти "мегахакиpы" так не могут - не знаю. Тyпые наверное.