top/prof

Sob, 3 Sty 2004, 18:02:58 CET

On Sat, Jan 03, 2004 at 05:42:19PM +0100, undefine w aramin.net wrote:
> chkrootkit zwraca ze nasz top z ix86 (ciekawostka - na athlonie juz nie!) jest zainfekowany. Dlaczego?
> [undefine w sv1 SPECS]$ strings `which ps` |grep prof
> [undefine w sv1 SPECS]$ 
> (to na athlonie)
> [undefine w atena SPECS]$ strings `which top` |grep prof
> /prof
> 
> to na i686 (na i386 jest tak samo, na i586 podobno tez)
> Moglby ktos sie temu przyjrzec?
> btw - pakiet budowany u mnie ma to samo, mimo iz w zrodlach nigdzie
> "/prof" nie ma - sa jedynie odwolania do sigprof oraz profilingu...

pfff... przypadek.

 8053b5c:       c7 06 2f 70 72 6f       movl   $0x6f72702f,(%esi)
                      ^^ ^^ ^^ ^^
 8053b62:       66 c7 46 04 63 2f       movw   $0x2f63,0x4(%esi)
                ^^

A razem to wpisuje "/proc/" pod adres %esi.

-- 
Jakub Bogusz    http://cyber.cs.net.pl/~qboosh/