Показать сообщение отдельно
Старый 19.06.2012, 22:30   #2
Specialist
 
Регистрация: 13.06.2012
Сообщений: 25
Репутация: 20
По умолчанию

Молодец, что разобрался. В наше время троянить эльфов не очень полезно, зато интересно.
Года 4 назад тоже этим развлекался. Только у меня была несколько другая идея.
Копаясь с gdb, я заменил, что во многие бинарники RH gcc вставляет ф-цию dummy_frame, которая вызывается из init перед main. Её можно было вполне безболезненно переписать.
Единственный минус, это размер - 53 байта, но свой exec туда вполне помещается. Для автозагрузки руткита подошло. Со свежими версиями gcc не проверял.
Саму функцию искал по сигнатуре. Если кому-то будет интересен код инфектора, могу скинуть.
Specialist вне форума   Ответить с цитированием