On Tuesday 07 May 2002 16:24, Andrei Bozeanu wrote: > deci, haideti sa va explic idea mea: > 1. analizez codul binarului dupa anumite syscalluri de genul sys_execve(), > sys_fork(), etc. care sunt specifice shellurilor.
depinde... sys_fork nu e neaparat legat de un sys_execve. Deci tb. sa cauti secventa asta intr-un nr. de n linii. Daca o gasesti tb. sa te asiguri ca nu e tot timpul executat acelasi lucru (poate programul executa ceva periodic). > 2. daca majoritatea acestor syscalluri (peste 80%) sunt prezente in binar, > il consider ca fiind shell. Sa inteleg ca sunt minim 5 syscalluri detectate de tine. Care ar fii alea ? P.S. Sa incerci dupa aia sa verifici jucaria pe `which cron` :) -- Mihai Chelaru http://www.netbsd.ro/ --- Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
