> В моей речи выше было немного сарказма, Видимо, надо было теги расставлять, т.к. со стороны это больше смахивало на тормозизм, имхо.
> Ага, да, конечно. А если загрузиться в LiveCD? Уже не удастся подменить
> системный вызов.
Так в этом то и пойнт загрузки с LiveCD.
> Поэтому проще оставить файл на диске, просто обнулись счётчик
> ссылок на него.
Если цель - "просто спрятать данные", есть over 9000 методов как это сделать. Можно вообще как файл не оформлять. Вывалить на reserved space после бутлоадера, на свободное место между разделами, или просто дописать в хвост какому-нибудь файлу. И еще over 9000 трюков. Проблема в том что для полной невидимости ВСЕХ кусков какие-то системные компоненты поменять придется и загрузка с LiveCD потенциально может это запалить. А если запален некий компонент - ну так и как он данные хранит постепенно разреверсят и при желании научатся доставать и скрытые данные.
> fsck по идее просто его удалит в случае
> чего, но кто догадается fsck запускать с LiveCD?
А если вообще не оформлять как файл и просто записать эн копий в разных блоках - даже fsck не догадается. Правда есть некий риск что затрется в процессе работы, но если разложить эн копий - все не затрутся сразу, можно восстановить стертые копии. Вот только эту логику кто-то должен делать. И при загрузке с LiveCD его станет видно...
> Да и в загрузчике всегда можно спрятаться на всякий пожарный.
Нормальные админы в курсе что для вышибания руткита надо сделать полный реинсталл. Конечно, существуют экспонаты пытающикся прописать довесок в BIOS, вот такое реинсталлом уже не выпрется. Но эти экспонаты имеют свойство быть очень разборчивыми в системах на которых они работают (тип bios и его версия, 100500 разныз факторов типа наличия места в флехе, etc), и вообще, виденные экспонаты уповали на возможность запустить авардовскую тулзу для пересборки BIOS (что в Linux не получится по техническим причинам). И даже так оно лажалось в половине случаев. А так то да, у рутковской вон есть "ring -3" приблуда. Живет себе в памяти BMC. Что-то делает. А x86 это совсем не видно. Вот только это опять же очень мамкозависимо и работает в оснвном на машине разработчика.
Вообще, сейчас хаксоров в основном интересует куда более прозаичный тыринг данных и использование халявных ресурсов, а вылет с плюс-минус пары машин с компетентными админами их вообще не парит. На 1 компетентного админа - 100 дятлов.
> Да понятное дело то. Я скорее пересказываю всё, что уже давно есть
> и активно применяется. Только никто об этом не знает.
А ты видел ring -3 экспонат от рутковской? Ну и вообще "никто не знает" - очень громкая заява. Дело в том что поменять системные вызовы так чтобы нигде не возникло аномалий и нестыковок - очень сложная задача. Поэтому чем забористее руткит - тем вероятнее что он себя спалит какими-то странными проблемами или особенностями, не говоря о том что он будет очень разборчив к особенностям системы. Я вон как-то видел как малварина запалила себя на ... рутките. Сама малварь была неизвестная, а вот руткит которым она пыталась спрятаться - достаточно общеизвестен для того чтобы попасться :).