eBPF-агент видит execve и connect, но пропускает ptrace-инъекцию в легитимный процесс. Три механизма сбора телеметрии Linux EDR — и у каждого своя слепая зона.eBPF (менее 2% CPU, ring buffer с 5.8+), auditd (монопольный режим или неполные данные, legacy с 2.6+), LKM (полный...
Linux EDR изнутри: как агенты собирают телеметрию и где у них слепые зоны
Источник: codeby.net