https://blog.qife122.com/tags/%E6%A0%B9%E5%B7%A5%E5%85%B7%E5%8C%85/ Recent content in 根工具包 on 办公AI智能小助手 Hugo zh-cn qife Tue, 09 Dec 2025 12:57:50 +0800 https://blog.qife122.com/p/ebpf-%E9%9A%90%E5%BD%A2%E6%9D%80%E6%89%8Blinkpro-%E6%9C%A8%E9%A9%AC%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90/ Tue, 09 Dec 2025 12:57:50 +0800 https://blog.qife122.com/p/ebpf-%E9%9A%90%E5%BD%A2%E6%9D%80%E6%89%8Blinkpro-%E6%9C%A8%E9%A9%AC%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90/ <h1 id="linkpro-ebpf-根工具包分析">LinkPro: eBPF 根工具包分析</h1> <p>在一次与 AWS 托管基础设施入侵相关的数字取证调查中，发现了一个针对 GNU/Linux 系统的隐蔽后门。该后门的功能依赖于安装两个 eBPF 模块：一方面用于隐藏自身，另一方面在接收到“魔法数据包”时被远程激活。本文详细介绍了该根工具包的能力，并展示了在此案例中观察到的感染链，该感染链使其能够在 AWS EKS 环境的多个节点上安装。</p>