https://opennet.ru/openforum/vsluhforumID3/109035.html Компания Trend Micro выявила (http://blog.trendmicro.com/trendlabs-security-intelligence/pokemon-themed-umbreon-linux-rootkit-hits-x86-arm-systems/) новое семейство руткитов, получивших название Umbreon в честь одноимённого покемона (https://en.wikipedia.org/wiki/List_of_Pok%C3%A9mon_%28152%E2%80%93201%29#Umbreon), который прячется в темноте. Единичные следы внедрения Umbreon прослеживаются с начала 2015 года, но сейчас руткит появился в свободной продаже на черном рынке. Umbreon поражает Linux-системы на базе архитектур x86, x86_64 и ARM, и относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя. Для скрытия своего присутствия, вместо перехвата системных вызовов на уровне ядра, Umbreon осуществляет подмену функций стандартной библиотеки libc.<br><br><br><br><br>Подмена функций осуществляется на этапе связывания, путём подстановки библиотеки /usr/share/libc.so.*.[i686&#124;x86_64&#124;v6l].ld-2.22.so, переопределяющей функции libc. Библиотека прописывается в конфигурационный файл https://opennet.ru/openforum/vsluhforumID3/109035.html#125 Tue, 13 Sep 2016 12:48:04 GMT да кто читать-то будет, про эту новость уже забыли. Молодёжь, обиделись, заминусовали.<br> https://opennet.ru/openforum/vsluhforumID3/109035.html#124 Tue, 13 Sep 2016 09:08:18 GMT а теперь ядро давай. за день справишься &#8212; с твоими&#8208;то умениями!<br> https://opennet.ru/openforum/vsluhforumID3/109035.html#123 Mon, 12 Sep 2016 18:01:18 GMT Я вот тоже за час наваял библиотеку i2c для uC - вывод на LCD работал нормально. А потом понадобилось еще свой slave дописать, да с нормальной обработкой ошибок и повторной передачей, дабы в условии сильных помех работало. И все это для жесткого realtime. В итоге неделю уже сижу. А в начале тоже казалось - на день работы.<br><br> https://opennet.ru/openforum/vsluhforumID3/109035.html#122 Mon, 12 Sep 2016 16:12:35 GMT Это реально либа которая работает через LD_PRELOAD. По уровню технологий - бамбуковый самолет и есть. Правда покрашенный и обтянутый парусиной, поэтому даже немного летает.<br> https://opennet.ru/openforum/vsluhforumID3/109035.html#121 Mon, 12 Sep 2016 16:10:18 GMT &gt; За час "любой linux программист" даже грамотное техническое задание не составит под <br>&gt; эту задачу.<br><br>Не позорь собой линукс-программистов. Я библу под LD_PRELOAD перехватывающую open() и еще несколько интересных вещей написал за 2 часа.<br> https://opennet.ru/openforum/vsluhforumID3/109035.html#120 Mon, 12 Sep 2016 16:05:32 GMT &gt; Или держать в системе статически линкованый busybox.<br><br>Из него средство forensic хилое, да и пропатчить его можно.<br> https://opennet.ru/openforum/vsluhforumID3/109035.html#119 Fri, 09 Sep 2016 11:23:20 GMT Тогда уж "контРазвеТчик" - ошибки-то две...<br> https://opennet.ru/openforum/vsluhforumID3/109035.html#118 Fri, 09 Sep 2016 10:45:48 GMT &gt;контразвеТчик<br><br>ах, я негодяй<br> https://opennet.ru/openforum/vsluhforumID3/109035.html#117 Fri, 09 Sep 2016 10:42:45 GMT &gt; Только исходники надо перечитывать, мало ли&#8230; <br><br>Никому верить нельзя, Debian-у https://www.trueelena.org/computers/articles/candy_from_strangers.html -- *можно*.<br><br>---И пр. "контразветчик должен..." https://otvet.mail.ru/answer/179135965<br>