🔍 Один из способов отыскать замаскированный от антивируса вредонос — снять дамп памяти процесса (то есть его копию, сохраненную в определенный момент) и проанализировать.
О том, как это можно сделать, а также об особенностях хранения памяти в новых версиях ядра ОС Linux (выше 6.1) рассказал в своей статье на Хабре наш коллега, специалист отдела обнаружения вредоносного ПО Евгений Биричевский: https://vk.cc/cwrzQ9
Вы узнаете больше о структуре хранения областей виртуальной памяти в актуальных версиях ядра Linux, научитесь снимать дампы при помощи гипервизора с открытым кодом Xen (в статье расписана детальная реализация модуля) и исследовать их при помощи системы анализа DRAKVUF, построенной по принципу черного ящика.
Все подробности — в материале по ссылке: https://vk.cc/cwrzQ9
#PositiveЭксперты