「Sudo」および「Sudo -s」を介してルートアクセスを取得するマルウェア

それはマルウェアがどこに存在するかによります。あなたが意味しているとしましょう：あなたのユーザーとして実行されていて、特権を取得したいプログラム。

本当に短いXセキュリティプライマー

まず、Xはアクセス制御を実行しますが、接続されたクライアント間を分離しないことに注意してください。デスクトップに接続されているすべてのクライアントは、サーバーにクエリを送信して、他のXクライアントに関する情報を取得し、それと対話できます。

たとえば、デスクトップ上でSkype（またはオープンソースかどうかに関係なく任意のプログラム）を実行すると、アクティビティをスパイすることができます：ウィンドウ、タイトル、スクリーンショットを撮る、キープレスをログに記録する（いくつかのグラフィカルツールキットを使用する場合でも）現在表示されているものの。したがって、理論的には、ルートシェルが開かれている端末があるかどうかを特定し、そこにキー入力イベントを送信して何かを入力できます（ただし、すべての端末エミュレータがこれらに従うわけではありません）。

実際には、キープレスのシミュレーションはあなたに気付かれるかもしれません（何かが起こった、またはプログラムがウィンドウを閉じてジョブを非表示にしただけかもしれません）一方で、プログラムが通信を許可されている場合は、特にキーロギングは見えません暗号化された接続（Skype、Googleトーク、フラッシュ、その他のプラグインを含むインスタントメッセージング、オーディオ、ビデオプログラムなど）を介して外部の世界。

参照： The Invisible Things Labのブログ：The Linux Security Circus：On GUI isolation

あなたの質問への回答。

シチュエーション1では、基本的にiotopを信頼しますが、それはあなたのポイントではないと思います。デスクトップに接続されている、またはユーザーとして実行されているマルウェアを想像してみましょう。 iotopをだまして（キープレスのシミュレーションなどによって）厄介なことをしようとする可能性がありますが、おそらく効果がありません。

状況2では、シェルはXから分離されているため、セキュリティ面で優れています。ユーザーアカウントで実行している1つのプログラムが、ログインしているLinux仮想コンソールに書き込むことができることを知っておく必要がありますが、これは画面に文字を挿入するだけで、プロセスアクティビティではありません。私の知る限り、プログラムをだまして実際に何かを別のLinux仮想コンソールに入力することはできません。

状況3は上記で説明したものです。プログラムはそれに気づき、いくつかのコマンドを入力して事実を隠そうとするでしょう。

あなたが本当に心配しているのであれば、おそらく分離と Qubes によるセキュリティに興味があるでしょう。