forum.opennet.ru

"Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_PRELOAD для скрытия"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..."	+2 +/–
Сообщение от n00by (ok), 10-Июн-22, 11:49
Надысь тут один специалист по Венде спрашивал, что такое "подсистема Win32". Так вот, там системный вызов "открытие файла" делается не командой int 2Eh, как могло бы показаться из лингвистической кальки с syscall или sysenter, а по условной цепочке kernel32.dll -> ntdll.dll -> SSDT в ntoskrnl.exe (это очень похоже на WinE, если не считать ядро). И перехватываться может в любом её месте. Если кто-то пропатчил SSDT - это уже не нубкит. При этом kernel32.dll и ntdll.dll - это стандартные библиотеки.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_PRELOAD для скрытия, opennews, 10-Июн-22, 08:45 [смотреть все]

Разделяемые библиотеки позволяют быстро исправлять ошибки - говорили они, не ш, n00by, 10-Июн-22, 08:45 (1) //
- ну тут дело же в полученном изначально root-доступе, а не в самом механизме дина, Аноним, 10-Июн-22, 08:50 (4) //
  - Дело в том, что я сейчас напишу читайте Хоглунда , а эксперты по руткитам полез, n00by, 10-Июн-22, 08:55 (6) //
    - Я эксперт, только что вернулся из поисковика При чём тут хоккей , Аноним, 10-Июн-22, 12:41 (56)
      - Однофамилец того хоккеиста написал книжку про руткиты Описал решаемые ими задач, n00by, 10-Июн-22, 13:00 (61)
        
        В тему , Аноним, 10-Июн-22, 17:54 (100)
        Это что, для маздая Очень тематично пля, мне очень интересно как гадить в NTшны, Аноним, 10-Июн-22, 18:38 (102)
        
        p s я буду рефрешить коменты до ответа Я буду рефрешить коменты до ответа Я б, Аноним, 10-Июн-22, 18:39 (103)
        
        Ответа кому Смысл вести с вами дискуссии На что вы, господа безымянные теорети, n00by, 11-Июн-22, 09:52 (127)
        
        Может, это те ребята, которые пишут Dow do I wrote root kit for Linux на Stac, InuYasha, 11-Июн-22, 10:22 (131)
        
        Вы хотеть, пожалуйста, посетить эту ссылка https github com search q linux roo, n00by, 11-Июн-22, 11:21 (138)
        
        Понимаешь, человек, от ТЕБЯ много СПАМА Бесполезного и или офтопичного Ты спам, Аноним, 11-Июн-22, 19:46 (168)
        
        Я отвечаю на твои бессмысленные сообщения, поскольку мне с такими как ты придётс, n00by, 12-Июн-22, 11:55 (187)
        
        Этот хак с LD_PRELOAD работает с правами обычного пользователя с правами которог, torvn77, 14-Июн-22, 02:01 (223)
        
        Напоминаю Unix-way каждая программа хорошо делает своё дело 1 эксплоит - пол, n00by, 14-Июн-22, 07:54 (225)
  - А не наоборот Впрочем в линуксе всё прекрасно тут вам и разделяемые библиотеки, Аноним, 10-Июн-22, 11:43 (38) //
    - Unix way - одна программа не обсуждается в ветке хорошо получает рут доступ, д, n00by, 10-Июн-22, 12:02 (46)
    - Пакетный менеджер имеет свои плюсы Допустим в zlib нашли баг Я поставил патчен, Аноним, 10-Июн-22, 21:21 (109)
      - Исправил, не благодари, Аноним, 11-Июн-22, 01:56 (125)
        
        Нехрен арчем и гентой в проде пользоваться В нормальных дистрах майнтайнеры вот, Аноним, 11-Июн-22, 19:51 (169)
        
        Накушался я этой стабильности в свое время Так, навскидку пример дебиан то ли , Аноним, 13-Июн-22, 20:24 (220)
      - Об этом должен беспокоиться разработчик конкретной программы, а не разработчик О, Аноним, 11-Июн-22, 09:55 (128)
        
        Единое окружение операционной системы собирает разработчик ОС, а не автор конкре, Аноним, 11-Июн-22, 12:03 (141)
        
        Вот поэтому самая правильная схема -- ОС отдельно, программы отдельно , Аноним, 11-Июн-22, 12:23 (144)
        
        В этом месте возникает конфликт интересов Есть специальный человек - майнтайнер, n00by, 11-Июн-22, 16:14 (152)
        Дистрибутив AltMinixZverBD отдельно, Аноним, 11-Июн-22, 17:33 (157)
        Не, спасибо, я видел как это в маздае работает Крайним почему-то я оказываюсь, , Аноним, 11-Июн-22, 20:07 (172)
        
        Ну не знаю По-моему ситуация когда пользовательские приложения делят либы с о, Аноним, 11-Июн-22, 21:09 (175)
        
        А по моему 1 В моем случае деление на систему и пользовательские приложени, Аноним, 12-Июн-22, 03:16 (181)
        
        А остальной код вы проверили, вдруг в других местах тоже есть уязвимости Запуск, Аноним, 12-Июн-22, 14:07 (196)
        Заменив либу на фикшеную, можно ВСЁ поломать Классно поменяли , Neon, 13-Июн-22, 03:42 (203)
        
        Поздравляю, ты изобрел FreeBSD с ее делением на distributions и ports, Аноним, 13-Июн-22, 20:31 (221)
        
        Спасибо, теперь я понял эти постоянные нападки на BSD В GNU Linux именно свобод, n00by, 14-Июн-22, 08:10 (226)
        
        За что, среди прочего, фряху и люблю Есть минимальный набор из загрузчика, ядра, Аноним, 14-Июн-22, 17:26 (228)
        Что бы что-то перехватить в монолитном исполняемом файле, врезать инструкции пер, n00by, 14-Июн-22, 17:55 (230)
        
        Проблема в том что в результате 1 Все отдано на откуп легиону каких-то раздолба, Аноним, 11-Июн-22, 20:04 (171)
        
        Ну так не пользуйся ненужным, в чем проблема-то Если найдется уязвимость в како, Аноним, 14-Июн-22, 17:35 (229)
  - А еще злодей может имя файла использовать левое, название процесса непаливное на, Аноним, 10-Июн-22, 18:42 (104)
- Жаль, что не получается составить список экспертов Стесняются отметиться явно , n00by, 10-Июн-22, 10:21 (12) //
  - busybox, Аноним, 10-Июн-22, 11:02 (19) //
    - Ход мыслей правилен, но уровень абстракции не тот См ldd which busybox , n00by, 10-Июн-22, 11:27 (26)
      - Статически слинкован, например с каким-нибудь экзотическим libc, который в добав, Аноним, 10-Июн-22, 11:31 (30)
        
        Да, это решение Но фанаты не одобряют , n00by, 10-Июн-22, 11:36 (32)
        
        Это решение только проблемы с LD_PRELOAD А злоумышленник с рутом так и сидит в , Аноним, 10-Июн-22, 11:41 (36)
        
        Что и обсуждается в данной ветке , n00by, 10-Июн-22, 11:57 (42)
        
        В какой, в которой ключи ищут , Аноним, 10-Июн-22, 12:14 (50)
        
        В ветке, которая началась с моего сообщения 8470 1 Оно так понравилось экспер, n00by, 10-Июн-22, 12:22 (53)
        
        Если обсуждают, что угодно, то изначальный тезис противоречивый, то есть троллин, Аноним, 10-Июн-22, 12:35 (55)
        
        Противоречий в тезисе нет Цитата в кавычках верна, проблема с ошибками в библ, n00by, 10-Июн-22, 13:02 (62)
        Вопросов больше не имею, Аноним, 10-Июн-22, 13:30 (70)
        Вот и не надо зафлуживать ветку, если сказать по сути нечего Затроллили его, бе, n00by, 10-Июн-22, 13:38 (72)
  - А если разрешать подгрузку только таких библиотек, у которых есть цифровая подпи, Аноним, 10-Июн-22, 11:04 (20) //
    - Что мешает подписать, если уже есть root-доступ , Аноним, 10-Июн-22, 11:09 (21)
      - Так подписи будет раздавать RHBM , n00by, 10-Июн-22, 11:15 (22)
        
        Не знаю кто это, но проверять тоже он будет или система, в которой кто-то шаритс, Аноним, 10-Июн-22, 11:21 (23)
        
        Куда именно добавил , n00by, 10-Июн-22, 11:24 (24)
        
        В систему, которая проверяет , Аноним, 10-Июн-22, 11:26 (25)
        
        Куда именно в систему, которая проверяет , n00by, 10-Июн-22, 11:28 (27)
        
        Куда надо Конкретика должна исходить от того, кто предложил способ защиты злоум, Аноним, 10-Июн-22, 11:39 (35)
        
        Защищающийся должен защитить систему Атакующему он ничего не должен , n00by, 10-Июн-22, 11:58 (43)
        
        Какой из пользователей с UID 0 защитник, какой - атакующий , Аноним, 10-Июн-22, 12:01 (45)
        Ищите ключи , n00by, 10-Июн-22, 12:04 (47)
        К кому запрос, к пользователю - защитнику или атакующему, который нашел ключ , , Аноним, 10-Июн-22, 12:12 (49)
        Я понимаю, что ключ пока никто не нашёл Совсем нет вариантов , n00by, 10-Июн-22, 12:20 (52)
        Злоумышленник с рутом - это кто Тот, кто не нашел ключ Пока нет конкретики, т, Аноним, 10-Июн-22, 12:30 (54)
        Вопрос в 8470 21 Что мешает подписать, если уже есть root-доступ Предложен , n00by, 10-Июн-22, 13:08 (63)
        Хочешь сказать, ключей в системе нет Внесистемные инструменты Хотя, что мешает , Аноним, 10-Июн-22, 13:27 (69)
        Социальная инженерия не работает Не нашли ключи, не подписали, закрепиться пред, n00by, 10-Июн-22, 13:41 (74)
        Еще один верный тезис Интересно, как в систему попали Защищающийся должен дока, Аноним, 10-Июн-22, 14:05 (77)
        Кто Вы Нафантазировали, что куда-то попали На этом фантазия закончилась Мне н, n00by, 10-Июн-22, 15:12 (82)
        Потому что ты оффтопщик - админ подкроватного IIS-сервера, который сам не знает , Аноним, 11-Июн-22, 12:59 (146)
        Нет, ты не угадал, у меня нет IIS-сервера под кроватью Сначала расскажи, почему , n00by, 11-Июн-22, 13:33 (147)
        Что мне находить Отключение integrity, когда у меня есть рут Прописывание в за, Аноним, 11-Июн-22, 14:01 (148)
        Теряешь контекст Требовал конкретику У меня она есть и давно в виде кода К да, n00by, 11-Июн-22, 15:57 (151)
        Это ты давно потерял контекст Раздул проблему LD_PRELOAD до размеров слона Ты, Аноним, 11-Июн-22, 16:55 (153)
        Ты не проблема вовсе Если ты не готов к конструктивному диалогу по вопросу LD_P, n00by, 11-Июн-22, 18:50 (158)
        Какой конструктив, если ты не даешь никакой конкретики Вместо этого скачешь то , Аноним, 11-Июн-22, 19:03 (161)
        Успокойся уже Сделай 10 вдохов Сделал Теперь читай дальше В 8470 21 ты соб, n00by, 11-Июн-22, 19:15 (163)
        Руткит - это кит , который работает как рут С точки зрения системы ничем не , Аноним, 11-Июн-22, 19:37 (167)
        Аноним - это им я , которого нет С точки зрения системы у твоего мнения не, n00by, 12-Июн-22, 12:08 (188)
        
        Пока-что я сам себе подписи на кернельные модули раздаю А в чем проблема так же, Аноним, 10-Июн-22, 18:43 (105)
        
        Для Вас не вижу проблем, коль сходу предлагаете решение Исходники открыты, можн, n00by, 11-Июн-22, 10:16 (129)
        
        А кто будет проверять контролера , Neon, 13-Июн-22, 03:45 (204)
        
        Сами подписывайте, если никому не доверяете Исходники открыты, возможность есть, n00by, 13-Июн-22, 08:32 (209)
      - Подписывают на отдельном хосте, не подключенном к сети с рутуемыми серверами , Аноним, 10-Июн-22, 11:28 (28)
    - Да, это один из вариантов Но надо понимать, что в прошлый раз в итоге развития , n00by, 10-Июн-22, 11:29 (29)
      - А если прямо им и воспользоваться, не мудрствуя лукаво , Аноним, 10-Июн-22, 12:07 (48)
        
        Полная версия идеи секурбута так то проверять ВСЕХ на цепочкеROM- бут- кернел- п, Аноним, 10-Июн-22, 21:02 (107)
  - Предлагаешь отключить _dl_map_object_deps всем-всем-всем из юзерспейса с сискол, InuYasha, 11-Июн-22, 10:51 (137) //
    - Зачем сразу запрещать Было интересно, сколько возникнет подобных вопросов что, n00by, 11-Июн-22, 11:41 (139)
      - Вот это уровень , Аноним, 11-Июн-22, 16:59 (155)
        
        А то Сджипиэлил из 30 не знает про всякие переменные окружения LD_ , n00by, 11-Июн-22, 19:02 (160)
        
        Научный подход security by obscurity в действии , Аноним, 11-Июн-22, 19:19 (164)
        
        Ну да Зеркало то работает Вон как ты себя разоблачаешь , n00by, 11-Июн-22, 19:25 (166)
- Строго говоря, замена одной неисправной библиотечки не является уязвимостью, ЕСЛ, Аристарх, 10-Июн-22, 12:54 (60) //
  - Торвальдс написал ядро Здесь обсуждается механизм в пространстве пользователя , n00by, 10-Июн-22, 13:11 (66) //
    - Только в пространстве пользователя, любой пользователь полностью изолирован от в, Аноним, 10-Июн-22, 13:40 (73)
      - Самое удивительное, что руткит при этом не подгузится , n00by, 10-Июн-22, 13:47 (75)
        
        Как догадался, получил дамп выполненных в ring0 инструкций, проанализировал на в, Аноним, 10-Июн-22, 14:16 (78)
        
        Бывает Продолжайте собирать пакетики , n00by, 10-Июн-22, 15:11 (81)
        
        И что там надо увидеть То что, если поменять логику glibc, то glibc ведет себ, Аноним, 10-Июн-22, 15:30 (83)
        
        С какой конкретно целью Вы пытаетесь произвести подмену предмета обсуждения в ве, n00by, 10-Июн-22, 15:43 (85)
        
        Если есть рут доступ, можно подменить вызовы glibc своим механизмом LD_PRELOA, Аноним, 10-Июн-22, 15:58 (87)
        
        То есть цель озвучить не можете, но хотите пофлудить о сферическом коне в вакуум, n00by, 10-Июн-22, 16:16 (92)
        
        Продолжай скакать с ветки на ветку, обвиняя Вы пытаетесь произвести подмену пре, Аноним, 10-Июн-22, 16:33 (94)
        Зер гуд, Вольдемар Я, я, дас штиммт Тебе полагается тёплый суп , n00by, 11-Июн-22, 10:20 (130)
  - Может, ещё книжку для укладки на энтер услужливо подсовывающий Торвальдс не обид, Michael Shigorin, 10-Июн-22, 21:23 (110)
- Да, позволяют Это ты смотрю не шибко понимаешь что такое разделяемые библиотеки , Аноним, 10-Июн-22, 16:01 (90) //
  - Чего мне понимать - в новости подробно описана разделяемая библиотека скрывают, n00by, 10-Июн-22, 16:20 (93)
- А таки позволяют И еще обеспечивают code reuse Мсье вероятно фанат игогошных б, Аноним, 10-Июн-22, 18:35 (101) //
  - Некоторые, кстати, троянят procps, но не psmisc , Michael Shigorin, 10-Июн-22, 21:24 (111) //
    - Это они не открыли Бритву Оккама - не надо прятать то, чего нет Есть же ещё оди, n00by, 11-Июн-22, 12:14 (142)
  - Мсье, очевидно, теоретик У меня на Си std cout хелловорлд получался в , n00by, 11-Июн-22, 10:26 (132) //
    - ldd покажешь , Аноним, 11-Июн-22, 17:09 (156)
      - Она не понимает PE COFF , n00by, 11-Июн-22, 18:54 (159)
        
        В тему , Аноним, 11-Июн-22, 19:12 (162)
        
        Ещё бы Ведь это _у_тебя_ исполняемый файл 6 гигабайт и масса руткитов закрепляе, n00by, 11-Июн-22, 19:20 (165)
        
        Ты не виляй хвостом, показывай импорты и экспорты или как у там у вас оффтопщико, Аноним, 11-Июн-22, 20:01 (170)
        
        Зачем я буду что-то тебе показывать У меня нет давно Венды как и того экзешника, n00by, 12-Июн-22, 12:12 (189)
        
        Может ты сперва напишешь привет мир используя именно std cout , потом будешь, Аноним, 12-Июн-22, 12:48 (193)
        
        Может ты внимательно прочтёшь 8470 132 У меня на Си std cout хелловорл, n00by, 12-Июн-22, 13:17 (194)
        
        Типичный оффтопщик, который пришел в тему про linux, и понтуется, что читал оффт, Аноним, 12-Июн-22, 13:37 (195)
        Рекомендую тебе вести себя крайне осторожно, особенно с оценками, пока ты не осо, n00by, 12-Июн-22, 14:42 (197)
        Оценщик об оценках Держишь уровень , Аноним, 12-Июн-22, 15:41 (198)
        Напоминаю, в 8470 101 ты описал свой маня-мирок, в котором хелловорлд весит 6, n00by, 13-Июн-22, 08:21 (208)
        Ты, давай, показывай свой привет с использованием include iostream , котор, Аноним, 13-Июн-22, 09:09 (210)
        Ты мог бы уже сам найти, если бы умел немножко покликать мышкой и читать исходни, n00by, 13-Июн-22, 09:38 (212)
        Это std или поделка студента , который залез в namespace std Разве это не т, Аноним, 13-Июн-22, 10:40 (213)
        Почему ты решил, что я буду объяснять тебе, что такое стандартная библиотека Си , n00by, 13-Июн-22, 11:20 (214)
        Потому что ты не знаешь, что такое стандартная библиотека Си Нельзя залезать, Аноним, 13-Июн-22, 11:31 (215)
        Что бы я начал что-то тебе объяснять, тебе следует меня заинтересовать Вот сейч, n00by, 13-Июн-22, 13:19 (216)
        https eel is c draft namespace std 1На остальное, подтверждающее уровень, отв, Анонин, 13-Июн-22, 13:54 (217)
        Потому что ты за свои слова отвечать не способен в принципе, как уже было с под, n00by, 13-Июн-22, 15:25 (219)
        Кстати, ты заметил, что ответил как Анонин - с н на конце Мне интересно, это , n00by, 15-Июн-22, 11:38 (231)
Вот это в мире ненавистной Венды называется нубкит поскольку там перехват сис, n00by, 10-Июн-22, 08:47 (2) //
- А не системные вызовы , Аноним, 10-Июн-22, 11:34 (31) //
  - Надысь тут один специалист по Венде спрашивал, что такое подсистема Win32 Так , n00by, 10-Июн-22, 11:49 (40)
- диэлэл-хайджакин это называется в венде , Big Robert TheTables, 10-Июн-22, 11:57 (41)
- А кого интересует мир венды в котором ничерта толком не работает А дизайн с деф, Аноним, 10-Июн-22, 16:00 (89) //
  - Да что там окна, попробуйте хотя бы инъекцию dll по Рихтеру сделать, что бы скры, n00by, 10-Июн-22, 16:03 (91) //
    - У винды есть и некий почти полный эквивалент LD_PRELOAD через реестр вроде Хотя, Аноним, 10-Июн-22, 23:06 (116)
      - Там в реестре наверняка много всякого интересного, и даже тело трояна можно найт, n00by, 11-Июн-22, 10:34 (133)
        
        Ну вот сколько я себя помню, в винде всегда было более 9000 способов налететь на, Аноним, 11-Июн-22, 20:25 (173)
        
        Вот именно, что чёрт знает Тут стоит читать не Хоглунда, а начинать с Рихтера, , n00by, 12-Июн-22, 12:34 (190)
  - Цвет рамок окон, конечно, имеет прямейшее отношение к дискуссии , Аноним, 10-Июн-22, 17:20 (96)
  - Поставь себе третьегном, не мучайся , Аноним, 11-Июн-22, 00:58 (122)
  - Так и не поймешь, трололо или фанбой из 90х, Аноним, 14-Июн-22, 17:03 (227)
Дальше будет только хуже , Аноним, 10-Июн-22, 08:48 (3)
А ссылка на исходники где , Аноним, 10-Июн-22, 08:55 (7) //
- Насколько я могу помнить, исходные коды подобного программного обеспечения, как , Адмирал Майкл Роджерс, 10-Июн-22, 13:12 (67)
когда мамкины хакепы полностью освоят ebpf, тогда линукс будет дырявее винды, Аноним, 10-Июн-22, 09:41 (8) //
- Но для пользования eDPF у нормальных пацанов нужен root А если есть root, то и , Аноним, 10-Июн-22, 11:38 (34) //
  - Ага, только у приличных людей там ща подписи на модули навешены И тебе еще ключ, Аноним, 10-Июн-22, 18:45 (106) //
    - Далеко у всех приличных людей Подписывать модули это уже почти ракетная наука , Аноним, 11-Июн-22, 23:19 (178)
      - Эта ракетная наука для стоковых модулей вообше билдсистемой кернела ворочается с, Аноним, 12-Июн-22, 03:29 (182)
    - А кто будет проверять подписантам Или джентльменам принято верить на слово , Neon, 13-Июн-22, 03:48 (205)
- Не будет Дырявее и корявее венды уже не будет ничего , Аноним, 10-Июн-22, 15:58 (88) //
  - Дырка номер 100500 в линупce, но плохая все равно винда Чотаржу, Аноним, 11-Июн-22, 01:53 (124) //
    - Ты ещё далеко не все вендовые пересчитал , Аноним, 11-Июн-22, 23:20 (179)
      - В винде не дыры, а отверстия , InuYasha, 12-Июн-22, 11:04 (184)
Еще никогда s Штирлиц s товарищ майор не был так близко к провалу с , EuPhobos, 10-Июн-22, 09:49 (9)
Офигенный вирус Реквестирую сырцы под копилефт лицензией , Аноним, 10-Июн-22, 10:20 (11) //
- root-доступ, который может быть получен, например, в результате эксплуатаци, Аноним, 10-Июн-22, 10:40 (17)
- уже ничего особенного, дыры типа как в polkit, Аноним, 10-Июн-22, 13:36 (71)
Оригинально , Аноним, 10-Июн-22, 10:49 (18)
Интересно, кто бы мог это написать и для чего ещё оно используется 129300 , Аноним, 10-Июн-22, 11:38 (33) //
- След русских хакеров , Аноним, 10-Июн-22, 11:42 (37) //
  - Нанятых бразильским центробанком по поручению спецслужб , Аноним, 10-Июн-22, 11:58 (44)
- NSA, for example , Аноним, 10-Июн-22, 13:09 (64)
Так Simbiote или Symbiote , Аноним, 10-Июн-22, 11:44 (39)
Где скачать b , Аноним, 10-Июн-22, 12:18 (51) //
- У себя в ЛА-банке, очевидно , Michael Shigorin, 10-Июн-22, 21:28 (113)
например, исключают отдельные элементы в списке процессов - вот почему бара, Аристарх, 10-Июн-22, 12:46 (57) //
- Да, как грамотный подход в BSD , Аноним, 10-Июн-22, 13:09 (65) //
  - Он обычно оказывается не от мира сего И единственная причина по которой джо неу, Аноним, 11-Июн-22, 00:40 (121)
- Пока кто-то не встроил свой фильтр в этот API и не оказалось, что системщик полу, Аноним, 10-Июн-22, 17:23 (97)
- Вы так и будете старательно доказывать, что лично Вам не натянуть даже кол нет,, Michael Shigorin, 10-Июн-22, 21:31 (114)
- И каждый первый хацкер будет пытаться это апи перехватить Потому что нерушимый , Аноним, 10-Июн-22, 23:13 (118)
- Линус был блатной мажор при дедушке профессоре Вот и позволял себе лишнее Попр, Neon, 13-Июн-22, 03:50 (206) //
  - Что ты несешь Торвальдс никогда не учился у Таненбаума, блин Таненбаум преподав, hefenud, 13-Июн-22, 09:26 (211)
А вот и встроенный бэкдор ёBPF снова пригодился , Онаним, 10-Июн-22, 12:48 (58) //
- Основной плюс ёBPF в том, что теперь бэкдоры могут одинаково хорошо работать на , Онаним, 10-Июн-22, 12:49 (59) //
  - Вне контекста верно, но как я понимаю к данному бекдору не относится - в новости, solardiz, 10-Июн-22, 16:53 (95) //
    - То есть эта штука еще и патчер eBFP программ А вот это уже креативно, LD_PRELOA, Аноним, 10-Июн-22, 21:06 (108)
    - Спасибо и подстановка дополнительного кода в загружаемые в ядро BPF-программы , Michael Shigorin, 10-Июн-22, 21:33 (115)
      - Да Спасибо И можно на ты , solardiz, 11-Июн-22, 00:28 (119)
Развесистая штуковина Походу, толковые ребята писали , YetAnotherOnanym, 10-Июн-22, 13:14 (68) //
- Вы про eBPF , anonymous, 10-Июн-22, 15:03 (80)
хакеры не спят, Аноним12345, 10-Июн-22, 13:53 (76)
Хакер и солонка, гоквч, 10-Июн-22, 14:44 (79)
почему никто ещё не задумался отчего такой путь обнаружен пока только в фин учре, Аноним, 10-Июн-22, 15:34 (84) //
- жырно шо аж Михоил не стал клевать, mos87, 11-Июн-22, 12:21 (143)
Как такую срань найти , Andy, 10-Июн-22, 21:26 (112) //
- Для начала зазырить переменные окружения любым известным вам способом и если там, Аноним, 10-Июн-22, 23:09 (117) //
  - Тут лучше не любым известным, а загрузив чистую систему с внешнего накопителя , n00by, 11-Июн-22, 10:47 (135) //
    - Дык при загрузке с флешки LD_Preload будет с флешкиА смотреть на всхаченной сист, Andy, 11-Июн-22, 15:03 (149)
      - В чистой системе , n00by, 11-Июн-22, 15:52 (150)
      - Как вариант, запустить что-либо с LD_PRELOAD и убедиться в том, что свой LD_PREL, швондер, 11-Июн-22, 16:57 (154)
        
        Руткит фильтрует чтение из proc пид mapsПо поводу детекта замером времени испол, n00by, 12-Июн-22, 12:47 (192)
        
        у вас неверное понимание , швондер, 12-Июн-22, 16:40 (199)
        
        Я так полагаю, Вы где-то уже апробировали предлагаемую методику, раз такое заявл, n00by, 13-Июн-22, 08:10 (207)
        
        Поскольку не последовало внятного объяснения, как предполагается обеспечить дост, n00by, 16-Июн-22, 08:15 (235)
- Классический способ по мотивам RootkitRevealer Руссиновича пишем приложение, ко, n00by, 11-Июн-22, 10:44 (134) //
  - Еще можно врубить мозг - и черт с ним с русиновичем - у нас тут линукс же Читае, Аноним, 11-Июн-22, 20:35 (174) //
    - К каким ножкам процессора подпаиваем принтер , n00by, 12-Июн-22, 12:45 (191)
- 1 Подписываешь чистые бинари и библиотеки 2 Запускаешь tail -f var log lo, Аноним, 15-Июн-22, 15:15 (232) //
  - Это всего лишь вопрос времени, когда руткиты начнут писать на накопитель в обход, n00by, 15-Июн-22, 15:46 (233) //
    - А мы не только ФС в режиме только для чтения держим, но и само блочное устройств, Аноним, 23-Июн-22, 19:28 (236)
      - И запуск драйверов заблокировали И изучили накопленный опыт атак на альтернатив, n00by, 24-Июн-22, 06:48 (237)
систему атакующий должен иметь root-доступ -- да уж, srgazh, 11-Июн-22, 00:28 (120) //
- рассказать способы, или сам загуглишь новости о многолетних дырах , Аноним, 11-Июн-22, 21:33 (177) //
  - Расскажи мне Мне очень нужно 8ой ведроид рутануть , InuYasha, 12-Июн-22, 11:26 (186)
Дальше не читал , pavlinux, 11-Июн-22, 01:09 (123) //
- Зер гуд, Вольдемар , n00by, 11-Июн-22, 10:51 (136)
- да хоть через дыры в polkit заиметь сейчас рут - вообще не проблема , Аноним, 11-Июн-22, 21:32 (176) //
  - 3аймей, хyцкep йoпт https git kernel org , pavlinux, 12-Июн-22, 21:46 (202)
Хорошая реклама Где мне его взять , microsoft, 11-Июн-22, 08:16 (126) //
- У Микрософта же https github com search q LD_PRELOAD rootkit, n00by, 11-Июн-22, 12:35 (145)
неплохо, mos87, 11-Июн-22, 11:44 (140)
Решил поизучать сети Поставил в Ubuntu анализатор Wireshark При первом запуске , У меня вопрос, 11-Июн-22, 23:59 (180) //
- man dumpcap не пробовали Это прога из комплекта wireshark для захвата сетевог, Аноним, 12-Июн-22, 03:39 (183) //
  - А я один юзер в системе, домашний комп D, Аноним, 12-Июн-22, 20:45 (200) //
    - Нет, ты - один из юзеров в системе, который думает, что он - Один или един , Аноним, 13-Июн-22, 14:11 (218)
    - cat etc passwd, Аноним, 13-Июн-22, 20:47 (222)
    - А почему wireshark dumpcap через sudo не запускает , torvn77, 14-Июн-22, 02:09 (224)
      - Не знаю, я не пробовал Я запускаю Wireshark ярлыком , Аноним, 15-Июн-22, 23:32 (234)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру