listps proje gizli olanlar da dahil olmak üzere tüm çalışan süreçleri göstermek için küçük bir linux programıdır. Sadece / proc dosya sistemleri ile çalışır.
Örneğin gibi çeşitli rootkit ile tehlikeye sistemlerde suckit 1.3E, listps açıkça çalışan gizli işlemleri listelemek mümkün olacaktır.
Bu açıkça 33000 aralığında 1 işlem kimlikleri / proc dosya sistemi sorgulayarak yapar.
Takas işlemleri parantez yazdırılır.
Örnek çıktı
Ben bir linux kutusu üzerinde suckit 1.3E kurmak için aşağıdaki oturumda, iki süreçleri (Crond ve smbd) bunları listelemek için listps kullanın gizleyin.
İlk olarak, ana bilgisayardaki suckit 1.3E yüklemek atalım:
[Root @ ares listps] # uname -a
Linux ares.sublevel3.org 2.4.20-20.7custom 1. SMP Sal 23 Eylül 14:30:50 CEST 2003 i686 bilinmeyen
[Ares listps @ root] # ./sksu
Seni seviyorum bebeğim
Göster Test modu 0 başlıyor
RK_Init: idt = 0xc0328000, ötv [] = 0xc02c68e0
kma_hint = 0x00000000
kmalloc () = 0xc012fcb0, GFP = 0x1f0
Z_Init: Ayırma çekirdek kod hafızası ... kinit (0xd04d9c64) ötv 0xc02c68e0
SCTP 0xbfffcde0 oldsys 0xc010cf40
Bitti, 11635 bayt, baz = 0xd04d8000
Şimdi Crond ve smbd (PID'ler 577 ve 613) gizlemek izin:
[Ares listps @ root] # ./sksu
Seni seviyorum bebeğim
Tespit edilen versiyon: 1.3E
kullanımı:
./sksu [args]
t - testi instalation hedefi
f - force instalation
u - kaldırma
i - pid görünmez hale
v - pid görünür hale
f [0/1] - geçiş dosya gizleme
p [0/1] - geçiş pid gizleme
[Root @ ares listps] # ./sksu i 577
Seni seviyorum bebeğim
Tespit edilen versiyon: 1.3E
Pid 577 şimdi gizlidir!
[Root @ ares listps] # ./sksu i 613
Seni seviyorum bebeğim
Tespit edilen versiyon: 1.3E
Pid 613 şimdi gizlidir!
Ps (1) onları bulur Bakalım:
[Root ares listps @] # ps auxwww | egrep 'Crond | smbd'
Kök 2160 0,0 0,1 1516 552 puan / 1 S 15:24 00:00 egrep Crond | smbd
[Root @ ares listps] #
Listps çalıştırmayı deneyin:
[Ares listps @ root] # listps -d
PID KOMUTANLIĞI
577 Crond (gizli)
613 smbd (gizli)
[Root @ ares listps] #
Son olarak, suckit kaldırmak edelim:
[Root @ ares listps] # ./sksu v 577
Seni seviyorum bebeğim
Tespit edilen versiyon: 1.3E
Pid 577 artık görünür!
[Root @ ares listps] # ./sksu v 613
Seni seviyorum bebeğim
Tespit edilen versiyon: 1.3E
Pid 613 artık görünür!
[Ares listps @ root] # ./sksu u
Seni seviyorum bebeğim
Tespit edilen versiyon: 1.3E
Suckit sucesfully kaldırıldı!
[Ares listps @ root] # listps -d
PID KOMUTANLIĞI
[Root @ ares listps] #
Bu sürümde Yeni nedir:
- Bu sürüm (şimdilik) kısa getopts kullanmaya parse_args değiştirir, okur ve hamle Bir yapıya istatistikler tüm -l seçeneği yapısından değerler birkaç yazdırmak yapar ve -p seçeneği listesine sadece tek bir PID yapar.
Yorum Bulunamadı