На заметку
*
В Linux удаление файла приводит лишь к удалению его имени из файловой системы. Если какой-либо процесс всё ещё юзает этот файл, данные остаются в памяти пока не кильнуть сам процесс.
И Linux сохраняет доступ к содержимому УДАЛЕННОГО ИСПОЛНЯЕМОГО файла до тех пор, пока он "открыт процессом".
На скринах видно запущенный процесс
Помни
$USERNAME@hacker.wtf*
В Linux удаление файла приводит лишь к удалению его имени из файловой системы. Если какой-либо процесс всё ещё юзает этот файл, данные остаются в памяти пока не кильнуть сам процесс.
И Linux сохраняет доступ к содержимому УДАЛЕННОГО ИСПОЛНЯЕМОГО файла до тех пор, пока он "открыт процессом".
На скринах видно запущенный процесс
update-check, файл notes.txt удален из каталога, казалось бы - все круто и файл исчез. (нет)lsof показывает, что процесс все еще держит удаленный файл открытым, а /proc/<pid> Параметр /fd подтверждает это, видим активный дескриптор файла, указывающего на него.Помни
$USERNAME, доказуха еще висит в памяти - и она очень даже доступна.👍33🔥13
На заметку
*
payload + unlink = stealth mode
payload не ищется, антивирусу нечего сканировать, а процесс живёт !
*
*
mmap + unlink = призрачные данные
Пока процесс жив - данные доступны (вместе с shellcode) и даже дамп памяти их покажет, но диск чист
$USERNAME@hacker.wtf - part 2*
payload + unlink = stealth mode
payload не ищется, антивирусу нечего сканировать, а процесс живёт !
payload + unlink = stealth mode
fd = open("/tmp/.x", O_CREAT|O_RDWR);
unlink("/tmp/.x");
execve("/proc/self/fd/3", ...);
*
*
mmap + unlink = призрачные данные
Пока процесс жив - данные доступны (вместе с shellcode) и даже дамп памяти их покажет, но диск чист
fd = open("secret", O_RDWR);
mmap(...)
unlink("secret");👍16🔥14
From Automation to Infection (Part II):
*
Reverse Shells, Semantic Worms, and Cognitive Rootkits in OpenClaw Skills
*
Reverse Shells, Semantic Worms, and Cognitive Rootkits in OpenClaw Skills
👍7🔥3