- Verifique o banco de dados de gerenciamento de pacotes
- Não é perfeitamente confiável, mas varre todo o sistema de arquivos em busca dos arquivos executáveis ou nomes de arquivos esperados.
- O mesmo que o número 2, mas não conte se alguém desejar renomear
netcat
parapurrmeow
, compilá-lo estaticamente e executá-lo chamando libc em vez de uma execução direta.
Você pode tentar identificar os arquivos usando o conteúdo dos primeiros bytes para verificar os números mágicos executáveis e observe qualquer um que não tenha uma casa. Isso cuidará de instalações de violação acidental ou inocente. Você será pressionado, no entanto, se alguém quiser colocar algo no lugar e mantê-lo escondido de você.
Para ser realmente sorrateiro, pode-se incorporar um executável em alguma seção de lixo do arquivo, mmap-lo e, em seguida, a memória saltar para ele. Onde há um testamento, há um hacker ... então, cuidado com as limitações de qualquer método que você escolher, se esta for uma função de auditoria.