>... how attackers with root privileges might use a /dev/mem rootkit, hiding
>their attacks by directly altering kernel memory....
>
>вы издеваетесь?
>это в любой системе можно провернуть так или иначе. к примеру загрузить
>свой модуль ядра и подправить указанные участки памяти ядра. Ну начнем с того, что не в любой. Допустим, внутри контейнера OpenVZ с выключенным /dev/[k]mem хрена что получится. Включая LKM.
Однако, вопрос бы 'вы действительно думаете, что так просто запишете в память???'. Ответ: it depends. Но, в принципе, да, легко. Если кто-то не позаботится накрутить соотв. ручки. А накручивают их далеко не все.