ppt:https://www.blackhat.com/docs/us-16/materials/us-16-Leibowitz-Horse-Pill-A-New-Type-Of-Linux-Rootkit.pdf
github:https://github.com/r00tkillah/HORSEPILL
先看一下linux启动过程,网上抄来的一张图
问题就在ramdisk启动init进程的时候,插入恶意代码
原本ramdisk的运行逻辑应该是这样,加载驱动,挂载根文件系统,然后去启动根文件系统的init进程:
在这个逻辑之上,让init进程运行在新建的容器之内,逻辑成为这样
这样,在容器内的进程就看不到主机系统了
