Гора с секретами. Скрываем процессы в Linux c помощью mount

Краткая новость:

Техника сокрытия процессов в Linux через bind mount: используется системный вызов mount с флагом MS_BIND, который перекрывает каталог /proc/[PID]. Это позволяет скрыть процессы от утилит ps, top и других инструментов мониторинга, которые читают procfs. Малвар также можно обнаружить с помощью правил auditd и скриптов на Python. Техника описана в статьях Стефана Бергера и Хэла Померанца.