我发现很多hack把戏用惯了下面的伎俩：

t = find_task
modify(t)
...

这一看就是以第三人称实施动作的。

为什么不以第一人称来折腾呢，这不更好隐藏自己并栽赃给运维吗？

只要把__schedule().return给hook了，那便是第一人称了，任何进程都要经过此地。这种方法更简单。作为一个例子，请看：
https://blog.csdn.net/dog250/article/details/108089212

再次重申，绝大部分人即便是给了他们root权限，他们能做的事情依然有限，这不是一个能力问题，这只是一个思路问题，比如如果你非要背负着“TCP的SYN包不能携带payload”这个负担的话，那么你就万万不会去实施携带大数据的SYN Flood攻击而打瘫服务器，不是你没有能力这么做，而是你没有想到竟然还可以这样。或者，你会说fastopen可以携带数据，但我的系统不支持啊…

不多说。

浙江温州皮鞋湿，下雨进水不会胖。