В мире Windows процессы хранятся в E_PROCESS структурах в двойных связанных списках. Как и диспетчер задач, большинство программ просматривают этот двойной связанный список для отображения запущенных процессов. Это позволяет вредоносным программам скрывать себя, отцепляя их от связанного списка, так как выполнение будет продолжено после. Для сканирования памяти в поисках структур E_PROCESS необходимо использовать структуры анализа памяти, такие как Volatility.
Мне было интересно, возможно ли нечто подобное в Linux. Технически Linux также использует двойной связанный список для хранения task_structs , в дополнение к хеш-таблицам PID и так далее. Так что вредоносная программа уровня rootkit должна иметь доступ к двойному связанному списку, чтобы освободить вредоносный процесс, пока он еще работает, не так ли?
Примерно так:
current->next_task->prev_task = current->prev_task;
current->prev_task->next_task = current->next_task;
Заранее спасибо за ответ, с наилучшими пожеланиями, @ iansus