Linux exploit可通過以下方式偽裝自身���,規避檢測:
- 進程隱藏:利用
LD_PRELOAD環境變量劫持系統函數����,通過自定義動態鏈接庫控制不顯示指定進程名�����。還可通過掛載覆蓋/proc/pid目錄�����,使進程在ps和top命令中消失�。
- 文件隱藏:將惡意文件存放在內存中����,如利用
memfd_create系統調用在內存中創建匿名文件��,執行后無磁盤痕跡�?��;蛲ㄟ^文件掛載����,將惡意文件偽裝成系統文件�。
- 網絡流量偽裝:通過ARP欺騙��、DNS劫持等手段�����,偽造網絡流量��,使攻擊流量混入正常流量中���。還可利用Linux內核的
ebpf功能動態劫持內核邏輯��,隱藏網絡連接�。
