Прятки в linux

       

Прочие методы борьбы


Консольные версии утилит типа ps или top легко обмануть с помощью длинной цепочки пробелов или символов возврата строки, затирающих оригинальное имя. Конечно, опытного админа так не проведешь, да и против KDE-мониторов такой прием совершенно бессилен, однако, можно попробовать замаскироваться под какой-нибудь невинный процесс наподобие vi или bash. Правда и здесь все не так просто! Ну кто в наше время работает в vi? И откуда взялась "лишняя" оболочка? Наблюдательный админ это сразу заметит. А может и нет… у многих из нас сразу запущенно несколько копий оболочек — кто их считает! Еще можно внедриться в какой-нибудь пользовательский процесс при помощи ptrace (см. мою статью в хакере, описывающую отладку под UNIX) – хрен там нас найдешь.

На худой конец можно вообще отказаться от маскировки. Процессов в системе много. За всеми и не уследишь. Главное — периодически расщеплять свой процесс на два и прибивать оригинал. Этим мы ослепляем утилиту top, сообщающую админу сколько времени отработал тот или иной процесс.



Содержание раздела