Уязвимо ли ядро к манипуляциям изве?

Если тебе засунули троян в EFI, с тем же успехом могут гонять твою ОС под гипервизором и делать что угодно.

Я спрашиваю что конкретно можно сделать с линуксом ядром в автоматическом режиме. И как усилить защиту. Какие векторы атаки.

Я пытался извне scanmem'ом редактировать память игрушки в виртуалбоксе - нифига не находит. Напрямую всё ок.

Принципиально - ничего. Полное гомоморфное шифрование ОС разве что, но это утопия)

Я спрашиваю что конкретно можно сделать с линуксом ядром в автоматическом режиме

Просканировать физическую память на предмет таблицы символов ядра. Проставить jmp my_malicious_substitute; в начало любой функции из таблицы символов.

Как медленно до тебя доходило. Эта «проблема» актуальна с тех пор, как биос стали хранить на флешке без возможности механически запретить её перезапись, т.е. уже лет 25 или больше.

Да, код, который исполняется до ОС, может делать с ОС что угодно, и ничего ты против этого не предпримешь, не меняя платформу с самого основания.

Жуть. Руткит, который детектится через ls /sys/firmware/acpi/tables.

Как понять, что там что-то лишнее? В чём проблема фильтровать вывод getdents64?

Увидел таблицу WPBT, значит всё, уязвим жеж. Осталось добавить в ядро поддержку WPBT и Windows Native API и можно фильтровать.

а что сделать нужно чтобы убрать троян из EFI?

переписать ефи? при накатывании нового ядра оно не переписывается?

а что сделать нужно чтобы убрать троян из EFI?

Перепрошить ROM микросхему на материнской плате с UEFI.

гипотетично руткит могут всунуть через Ethernet. «не забывайте выключать [s]утюг[/s] опции в BIOS». (и то, остаются сомнения)

Был немало удивлён, что у двух новых компов, изначально была включена сетевая загрузка.

А его и так гоняют под гипервизором из minix-а.

юникс-лайк, опенсорс, энтерпрайзненько, чё вам не нравится