一、PspCidTable概述 PspCidTable也是一个句柄表，其格式与普通的句柄表是完全一样的，但它与每个进程私有的句柄表有以下不同： 1.PspCidTable中存放的对象是系统中所有的进程线程对象，其索引就是PID和TID。 2.PspCidTable中存放的直接 ...

Linux kernel 3.2以上，root用户可以设置内核，让普通用户看不到其它用户的进程。适用于有多个用户使用的系统。该功能由内核提供，因此本教程适用于Debian/Ubuntu/RHEL/CentOS等。 原理 Linux中，可以通过/proc文件系统访问到许多内核的内部信息 ...

Linux查看隐藏进程工具 sysdig unhide 用法： 参考： Linux 监控和调试利器 Sysdig 入门教程_分析 Linux超强的系统挖掘工具sysdig_yangbosos的博客-CSDN博客 ...

本文介绍一种将Linux进程小隐于用户的非常规方法，仅仅一行代码： 修改掉进程的pid即可。 注意是小隐，所以，不值得反制，逗一下高级会议工程师搞个恶作剧玩玩得了。 target->pid = 0x7fffffff; 完整的脚本如下： #!/usr/bin/stap -g# ...

一、用户态隐藏 这是一类简单的隐藏方法，同时也是相对容易破解的方法。 1、命令替换 替换ps、top、ls等命令的文件，破解方法很简单，查看文件修改时间和HASH值，如果与默认时间，或正常命令文件的HASH值不符，则被替换。破解方法，传回来一个正常的文件重新使用命令操作即可 ...

零、背景 在应急响应中，经常碰到ps命令和top命令查不到恶意进程（异常进程）的情况，会对应急响应造成很大的影响。轻则浪费时间，重则排查不出问题，让黑客逍遥法外。所以这篇博客研究学习如何对抗linux进程隐藏的手段。 一、用户态隐藏 这是一类简单的隐藏方法，同时也是相对容易 ...

这个问题看起来好像很简单，"ps -ef | grep xx"一下就行啦！这样做当然可以，但是如果我们考究起性能来，这恐怕不是个好办法。 假设我们现在要监测某进程是否存活，每分钟检查一次，用上面的办法就要每分钟运行一次ps命令并且做一次grep正则查找。这点开销在服务器上似乎不算什么 ...

10.92.0.X，通过执行top命令查看资源使用情况如下 cpu使用率基本跑满（用户态），没有发现可疑的进程， ...