上周看了盘古实验室发表的《Bvp47 美国NSA方程式的顶级后门》的文章，里面提到后门使用BPF技术做通信信道的隐藏，本身不监听端口，通过特定SYN包唤醒后门。而且，此后门隐藏近二十年之久，至今才被发现。 Bvp47 直接利用 BPF 的这个特性作为隐蔽信道环节中在 Linux 内核层面的高级技巧，避免直接的 内核网络协议栈HOOK被追踪者检测出来。具体的 BPF 汇编如下，只有满足这部分规则的 SYN 数据包(还包括UDP包)才会进入下一个加解密 流程进行处理: 文中一句带过，没有过多的细节描述。也能…