我一直在围绕这个命令进行研究。
rm -f /etc/ld.so.preload
目前我正在分析的脚本以上述命令开始。
笔记:
我尝试围绕“ld.so.preload”文件进行研究,并得出结论:"ld.so.preload"系统上通常不存在该文件。几乎所有程序都尝试打开这个文件,这种行为被嵌入到 glibc 中。由于该文件不存在于进程中,因此仅调用访问,获取负值并继续
问题:
在哪些情况下 ld.so.preload 文件通常会存在或在系统中创建?
当恶意程序强行尝试删除
ld.so.preload文件时,会对系统造成什么影响?
原始的i.sh代码来自DShield:与 CVE-2020-5902 相关的一些 IoC
答案1
- 如果您的系统损坏且程序无法正确访问库
- 其结果是,原本状况不佳的系统最终会陷入更糟糕的状况
所有程序都尝试访问此文件(即使它不存在)的原因是它告诉程序在执行其他操作之前首先加载哪些库。
在执行过程中,程序还不知道它不存在,因此必须尝试一下。