eBPF rootkits and the Volatility blind spot in Linux memory forensics
eBPF(拡張バークレー・パケット・フィルタ)を悪用したルートキットは、従来のメモリフォレンジック手法では検出が困難です。本記事では、eBPFルートキットがVolatilityフレームワークの解析対象外となる「盲点」を突く仕組みと、その検出方法について解説します。
eBPF(拡張バークレー・パケット・フィルタ)を悪用したルートキットは、従来のメモリフォレンジック手法では検出が困難です。本記事では、eBPFルートキットがVolatilityフレームワークの解析対象外となる「盲点」を突く仕組みと、その検出方法について解説します。