私はこの命令についていくつかの研究をしてきました。
rm -f /etc/ld.so.preload
現在私が分析しているスクリプトは上記のコマンドで始まります。
メモ:
"ld.so.preload""ld.so.preload"ファイルを調べたところ、通常、そのファイルがシステムに存在しないという結論に達しました。ほとんどすべてのプログラムはこのファイルを開こうとし、この動作はglibcに組み込まれています。そのプロセスにファイルが存在しないので、ただアクセスを呼び出して負の値を取得して続行します。
質問:
ld.so.preloadファイルは通常、どのような状況でシステムに存在または生成されますか?
悪意のあるプログラムが強制的に
ld.so.preloadファイルを削除しようとすると、システムにどのような影響がありますか?
元のi.shコードは、以下に由来します。DShield:CVE-2020-5902に関連する一部のIoC
答え1
- システムが破損してプログラムがライブラリに正しくアクセスできない場合
- その結果、すでに劣悪な状態にあるシステムは、最終的にさらに悪化する状態に陥ります。
すべてのプログラムがこのファイルにアクセスしようとする理由は、(存在しない場合でも)他の操作を実行する前に、ロードするライブラリを最初にプログラムに指示するためです。
実行中に、プログラムは自分が存在しないという事実をまだ知らないので、試す必要があります。