RC脚本

对手可能通过修改在类Unix系统启动期间执行的RC脚本来建立持久性。这些文件允许系统管理员在不同运行级别启动自定义服务。修改RC脚本需要root权限。 对手可以通过将恶意二进制路径或shell命令添加到rc.local、rc.common和其他特定于类Unix发行版的RC脚本来建立持久性。(引用: IranThreats Kittens Dec 2017)(引用: Intezer HiddenWasp Map 2019) 重启后，系统以root身份执行脚本的内容，从而实现持久性。 对手滥用RC脚本在默认使用root用户的轻量级类Unix发行版（如IoT或嵌入式系统）中特别有效。(引用: intezer-kaiji-malware) 一些类Unix系统已经迁移到Systemd并弃用了RC脚本。在macOS中，这是一种弃用的机制，取而代之的是Launchd。(引用: Apple Developer Doco Archive Launchd)(引用: Startup Items) 此技术可用于Mac OS X Panther v10.3及更早版本，这些版本仍然执行RC脚本。(引用: Methods of Mac Malware Persistence) 为了保持向后兼容性，一些系统（如Ubuntu）将在存在正确文件权限的情况下执行RC脚本。(引用: Ubuntu Manpage systemd rc)