如果一个进程实际上可以干扰其他进程,是否可以追踪它?经过越狱,我的意思是它克服了虚拟化这一阻碍一个进程与其他进程直接交互的问题。
答案1
这具体取决于突破是如何完成的。
如果您正在谈论越狱chroot(),那么该进程的 PID 不会改变,并且类似的东西strace应该可以毫无问题地产生它的痕迹。
如果通过利用内核或硬件弱点而发生突破,则尝试通过利用来跟踪被监禁的进程可能会产生非常奇怪的结果,甚至使跟踪工具和/或虚拟机彻底崩溃,因为跟踪所需的额外操作可能不会填补漏洞利用造成的“漏洞”。
或者,如果漏洞利用发生在汇编器级别,它可能根本不会注册strace。记住strace主要是痕迹系统调用和信号:漏洞利用可能首先以特定方式在内存中准备一些代码,然后执行一系列非常特定的汇编器级操作,其中任何一个操作都可能不需要进行任何系统调用。为了甚至看到这一点,您需要使用gdb可以单步执行单个 CPU 指令的调试器(或类似的)……即使如此,跨漏洞跟踪的行为也可能会阻止漏洞按预期工作。