シマンテックはSSHDバックドアに関する詳細を公開し、SSHDプロセスをダンプし、特定の文字列を検索することを提案しました。
メモ:背景は次のとおりです。Linuxバックドアのシマンテックレポート
SSHDプロセスをダンプしてダンプを取得する手順を実行する方法がわかりません。 FedoraのようなLinuxシステムでこれを行うために従うべきステップを誰かが説明できることを願っています。
答え1
たとえば、まず sshd のプロセス ID を取得します。
ps eax | grep sshd | fgrep -v grep | cut -f 2 -d ' '
次に、それをpidとして使用してフローチャートを表示します。
cat /proc/<pid_you_found>/maps
次に、gdb目的のメモリ範囲に接続してダンプ(ファイルに)します。
gdb --pid pid_you_found
(gdb) dump memory file_name startaddr endaddr
その後、file_nameから文字列を解析できます。
(私はすべてのメモリ範囲でPythonスクリプトを再利用し、gdb出力をファイルに書き込みます。)