在《Bvp47 美国NSA方程式的顶级后门》的文章，里面提到后门使用BPF技术做通信信道的隐藏，本身不监听端口，通过特定SYN包唤醒后门。而且隐藏近二十年之久。恰巧笔者近期在学习eBPF，且在春节前用eBPF技术实现了类似功能的后门DEMO，对这块特别感兴趣。 好奇它的兼容性是如何做的，HOOK点是如何选择的？用的BPF/eBPF哪个内核版本的类库？

Continue reading