VDSO劫持

对手可能通过VDSO劫持将恶意代码注入进程，以规避基于进程的防御并可能提升权限。虚拟动态共享对象（vdso）劫持是一种在单独的活动进程地址空间中执行任意代码的方法。 VDSO劫持涉及重定向对动态链接共享库的调用。内存保护可能会阻止通过Ptrace系统调用向进程写入可执行代码。然而，对手可能会劫持从vdso共享对象映射到进程的syscall接口代码存根，以执行syscall来打开和映射恶意共享对象。然后可以通过修补存储在进程全局偏移表中的内存地址引用来调用此代码（这些表存储映射库函数的绝对地址）。(引用: ELF Injection May 2009)(引用: Backtrace VDSO)(引用: VDSO Aug 2005)(引用: Syscall 2014) 在另一个进程的上下文中运行代码可能允许访问进程的内存、系统/网络资源，并可能提升权限。通过VDSO劫持执行还可能规避安全产品的检测，因为执行被掩盖在合法进程下。