一、PspCidTable概述 PspCidTable也是一個句柄表，其格式與普通的句柄表是完全一樣的，但它與每個進程私有的句柄表有以下不同： 1.PspCidTable中存放的對象是系統中所有的進程線程對象，其索引就是PID和TID。 2.PspCidTable中存放的直接 ...

Linux kernel 3.2以上，root用戶可以設置內核，讓普通用戶看不到其它用戶的進程。適用於有多個用戶使用的系統。該功能由內核提供，因此本教程適用於Debian/Ubuntu/RHEL/CentOS等。 原理 Linux中，可以通過/proc文件系統訪問到許多內核的內部信息 ...

Linux查看隱藏進程工具 sysdig unhide 用法： 參考： Linux 監控和調試利器 Sysdig 入門教程_分析 Linux超強的系統挖掘工具sysdig_yangbosos的博客-CSDN博客 ...

本文介紹一種將Linux進程小隱於用戶的非常規方法，僅僅一行代碼： 修改掉進程的pid即可。 注意是小隱，所以，不值得反制，逗一下高級會議工程師搞個惡作劇玩玩得了。 target->pid = 0x7fffffff; 完整的腳本如下： #!/usr/bin/stap -g# ...

一、用戶態隱藏 這是一類簡單的隱藏方法，同時也是相對容易破解的方法。 1、命令替換 替換ps、top、ls等命令的文件，破解方法很簡單，查看文件修改時間和HASH值，如果與默認時間，或正常命令文件的HASH值不符，則被替換。破解方法，傳回來一個正常的文件重新使用命令操作即可 ...

零、背景 在應急響應中，經常碰到ps命令和top命令查不到惡意進程（異常進程）的情況，會對應急響應造成很大的影響。輕則浪費時間，重則排查不出問題，讓黑客逍遙法外。所以這篇博客研究學習如何對抗linux進程隱藏的手段。 一、用戶態隱藏 這是一類簡單的隱藏方法，同時也是相對容易 ...

這個問題看起來好像很簡單，"ps -ef | grep xx"一下就行啦！這樣做當然可以，但是如果我們考究起性能來，這恐怕不是個好辦法。 假設我們現在要監測某進程是否存活，每分鍾檢查一次，用上面的辦法就要每分鍾運行一次ps命令並且做一次grep正則查找。這點開銷在服務器上似乎不算什么 ...

10.92.0.X，通過執行top命令查看資源使用情況如下 cpu使用率基本跑滿（用戶態），沒有發現可疑的進程， ...