How to become an author
Search
Write a publication
Pull to refresh

Comments 12

UFO just landed and posted this here
Собственно, сам автор (руткита, разумеется) уже написал статью о менее изощрённом способе его детектить. Впрочем, на него тоже найдётся анти-анти-руткит:)
Total votes 2: ↑2 and ↓0+2
Да, в общем-то, было очевидно, что такие руткиты из-под ядра легко детектить. Гораздо интересней, на мой взгляд, все-таки детектить в юзерленде. Есть как минимум еще один способ детекта — детектить скрытые файлы по несовпадению количества инодов.
Total votes 1: ↑1 and ↓0+1
Ну а количество инодов вы как хотите узнавать?
This comment wasn’t rated yet0
Как угодно. Azazel не скрывает иноды, как и не перехватывает libdl (ну, это пока).
This comment wasn’t rated yet0
Можно ли снять общее кол-во инод и всё дерево каталогов одним снепшотом, транзакционно?
This comment wasn’t rated yet0
Вы действительно, считаете, что Ваш пост:
может служит источником информации о том, как работать с ядром, а именно перехватывать его функции и модифицировать поведение системы.
?
Total votes 1: ↑0 and ↓1-1
Так не «может служить» же, а «может, служит».
This comment wasn’t rated yet0
Познавательно, но почему бы не использовать systemtap?
This comment wasn’t rated yet0
Sign up to leave a comment.

Articles

Show the best of all time

Your account

Sections

Information

Services

Support
© 2006–2024, Habr