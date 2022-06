Жаль, что не получается составить список экспертов. Стесняются отметиться явно. С точки зрения руткита - отображение актуальной информации является нежелательным поведением. Он и исправляет "ошибку" документированным способом. > Особенностью Simbiote является распространение в форме разделяемой библиотеки,

> которая подгружается во время запуска всех процессов при помощи механизма LD_PRELOAD

> и подменяет некоторые вызовы стандартной библиотеки. Подгружается библиотека не сама собой, а (очень грубо) вот тут:







/* Load all the libraries specified by DT_NEEDED entries. If LD_PRELOAD

specified some libraries to load, these are inserted before the actual

dependencies in the executable's searchlist for symbol resolution. */

{

RTLD_TIMING_VAR (start);

rtld_timer_start (&start);

_dl_map_object_deps (main_map, preloads, npreloads,

state.mode == rtld_mode_trace, 0);

rtld_timer_accum (&load_time, start);

}







Из этого следуют интересные выводы:

1. обобщение "всех процессов" излишне пессимистично;

2. достаточно просто реализовать детектор руткита;

3. возможно построить систему так, что она окажется не подвержена атаке.