linux上的无文件恶意软件是如何工作的？

Question

我理解无文件恶意软件的定义：

恶意代码，它不是基于文件的，而是只存在于内存中的…更具体地说，无文件的恶意代码…将自己附加到内存…中的活动进程中。

有人能解释一下这个附加到内存中的活动进程是如何工作的吗？

另外，有什么(内核)保护/强化可以防止这种攻击？

Answer 1

当您设法使进程崩溃时，您可以使进程将数据插入到内存中。一个非常流行的方法是使用缓冲溢出。

这是怎么回事？例如，您知道进程正在侦听端口x，并为某个函数(例如，15字节大)设置了一个缓冲区。使用15字节的数据+n字节(要执行的代码)调用该函数。如果程序没有正确地验证数据，它将用代码覆盖相邻的内存，因此代码驻留在内存中。如果您可以让这些代码执行，您就拥有了系统。例如，进程不能在其分配空间之外写入内存，这是有限制的。

在所有操作系统上都有一长串漏洞，缓冲区溢出允许破解者将数据注入目标内存。