零、背景 在应急响应中，经常碰到ps命令和top命令查不到恶意进程（异常进程）的情况，会对应急响应造成很大的影响。轻则浪费时间，重则排查不出问题，让黑客逍遥法外。所以这篇博客研究学习如何对抗linux进程隐藏的手段。 一、用户态隐藏 这是一类简单的隐藏方法，同时也是相对容易 ...

1.命令替换 实现方法 替换系统中常见的进程查看工具（比如ps、top、lsof）的二进制程序 对抗方法 使用stat命令查看文件状态并且使用md5sum命令查看文件hash，从干净的系统上拷贝这些工具的备份至当前系统，对比hash是否一致，不一致，则说明被替换了。 注：需要在bin目录 ...

/$$/mountinfo 查看隐藏进程cat /proc/mountsmount 4. 接触隐藏umount /pr ...

进程隐藏的方法 最基本的隐藏：不可见窗体＋隐藏文件 木马程序无论如何神秘，但归根究底，仍是Win32平台下的一种程序。Windows下常见的程序有两种： 1.Win32应用程序(Win32 Application)，比如QQ、Office等都属于此行列。 2.Win32 ...

Linux下进程通信的八种方法：管道(pipe)，命名管道(FIFO)，内存映射(mapped memeory)，消息队列(message queue)，共享内存(shared memory)，信号量(semaphore)，信号(signal)，套接字(Socket) (1) 管道（pipe ...

常规篇：　首先，用ps查看进程，方法如下： $ ps -ef 或者： $ ps -aux 此时如果我想杀了火狐的进程就在终端输入： $ kill -s 9 1827 其中-s 9 制定了传递给进程的信号是９，即强制、尽快终止进程。各个终止信号及其作用 ...

常规篇：　首先，用ps查看进程，方法如下： $ ps -ef 或者： $ ps -aux 此时如果我想杀了火狐的进程就在终端输入： $ kill -s 9 1827 其中-s 9 制定 ...

转载自: https://www.cnblogs.com/yunfeiqi/p/6676856.html ps -ef|grep LOCAL=NO|grep -v grep ...