Ring 3 хватает: userland rootkit прячет процессы, файлы и бэкдоры без единой строки кода в ядре.Атакующие в реальных red team-кампаниях не лезут в Ring 0 — им хватает Ring 3. LD_PRELOAD перехватывает readdir() до того, как ls и ps увидят данные. DLL injection загружает код в чужой процесс через CreateRemoteThread. IAT hooking подменяет...
Userland rootkit техники сокрытия: LD_PRELOAD, DLL injection, IAT/EAT hooking на практике
Источник: codeby.net