暂时破坏 Linux 发行版的可逆方法

Question

就像一个高级概念一样。大多数可能“造成严重破坏”的事情都仅限于命名空间。因此，如果您想破坏所有内容然后修复它，您可能出于好奇或可能出于测试目的而这样做。

另外，您在问题中所描述的内容只是真正破坏了命令行。期望直接与内核交互的正在运行的进程（甚至依赖于 libc 的进程）不会因丢失整个文件系统而受到影响。

因此，如果你想要恢复后门，你可以自己用 C 语言编写一些可以重新安装的东西。重要的是你使用APImount()而不是命令mount。正在运行的进程将不依赖于目录树来完成其工作。

另一个有趣的事情是搞乱网络。实际上，我故意对 docker 容器执行此操作以创建一种混沌猴。

有两个有用的攻击点：

不断地重写/etc/resolv.conf。您可以暂时将其删除，然后再更换。这将很好地导致许多网络作业失败。
将接口移动到另一个网络命名空间（例如：像这样）。 我承认，如果你这样做，我并不是 100% 知道打开套接字时会发生什么。然后您可以将其恢复并根据需要修复任何 IP 地址。

Answer 1

就像一个高级概念一样。大多数可能“造成严重破坏”的事情都仅限于命名空间。因此，如果您想破坏所有内容然后修复它，您可能出于好奇或可能出于测试目的而这样做。

另外，您在问题中所描述的内容只是真正破坏了命令行。期望直接与内核交互的正在运行的进程（甚至依赖于 libc 的进程）不会因丢失整个文件系统而受到影响。

因此，如果你想要恢复后门，你可以自己用 C 语言编写一些可以重新安装的东西。重要的是你使用APImount()而不是命令mount。正在运行的进程将不依赖于目录树来完成其工作。

另一个有趣的事情是搞乱网络。实际上，我故意对 docker 容器执行此操作以创建一种混沌猴。

有两个有用的攻击点：

不断地重写/etc/resolv.conf。您可以暂时将其删除，然后再更换。这将很好地导致许多网络作业失败。
将接口移动到另一个网络命名空间（例如：像这样）。 我承认，如果你这样做，我并不是 100% 知道打开套接字时会发生什么。然后您可以将其恢复并根据需要修复任何 IP 地址。

相关内容