Linux exploit怎样伪装自己

Linux exploit可通过以下方式伪装自身，规避检测：

• 进程隐藏：利用LD_PRELOAD环境变量劫持系统函数，通过自定义动态链接库控制不显示指定进程名。还可通过挂载覆盖/proc/pid目录，使进程在ps和top命令中消失。
• 文件隐藏：将恶意文件存放在内存中，如利用memfd_create系统调用在内存中创建匿名文件，执行后无磁盘痕迹。或通过文件挂载，将恶意文件伪装成系统文件。
• 网络流量伪装：通过ARP欺骗、DNS劫持等手段，伪造网络流量，使攻击流量混入正常流量中。还可利用Linux内核的ebpf功能动态劫持内核逻辑，隐藏网络连接。