在Windows世界中,存储在 E_PROCESS 结构中的双链接列表中的进程。像任务管理器一样,大多数程序都通过此双向链接列表来显示正在运行的进程。这允许恶意软件通过从链接列表中取消链接来隐藏自身,因为此后将继续执行。人们必须使用诸如Volatility之类的Memory Analysis框架来扫描内存,以搜索 E_PROCESS 结构。
我想知道在Linux中是否有可能实现类似的目标。从技术上讲,除了PID哈希表等,Linux还使用双链表来存储 task_structs 。因此,rootkit级恶意软件应该能够访问双向链接列表,以在保持恶意程序运行的同时解除其链接,不是吗?
类似这样的东西:
current->next_task->prev_task = current->prev_task;
current->prev_task->next_task = current->next_task;
在此先感谢您的问候,最好的问候,@ iansus