零、背景 在應急響應中，經常碰到ps命令和top命令查不到惡意進程（異常進程）的情況，會對應急響應造成很大的影響。輕則浪費時間，重則排查不出問題，讓黑客逍遙法外。所以這篇博客研究學習如何對抗linux進程隱藏的手段。 一、用戶態隱藏 這是一類簡單的隱藏方法，同時也是相對容易 ...

1.命令替換 實現方法 替換系統中常見的進程查看工具（比如ps、top、lsof）的二進制程序 對抗方法 使用stat命令查看文件狀態並且使用md5sum命令查看文件hash，從干凈的系統上拷貝這些工具的備份至當前系統，對比hash是否一致，不一致，則說明被替換了。 注：需要在bin目錄 ...

/$$/mountinfo 查看隱藏進程cat /proc/mountsmount 4. 接觸隱藏umount /pr ...

進程隱藏的方法 最基本的隱藏：不可見窗體＋隱藏文件 木馬程序無論如何神秘，但歸根究底，仍是Win32平台下的一種程序。Windows下常見的程序有兩種： 1.Win32應用程序(Win32 Application)，比如QQ、Office等都屬於此行列。 2.Win32 ...

Linux下進程通信的八種方法：管道(pipe)，命名管道(FIFO)，內存映射(mapped memeory)，消息隊列(message queue)，共享內存(shared memory)，信號量(semaphore)，信號(signal)，套接字(Socket) (1) 管道（pipe ...

常規篇：　首先，用ps查看進程，方法如下： $ ps -ef 或者： $ ps -aux 此時如果我想殺了火狐的進程就在終端輸入： $ kill -s 9 1827 其中-s 9 制定了傳遞給進程的信號是９，即強制、盡快終止進程。各個終止信號及其作用 ...

常規篇：　首先，用ps查看進程，方法如下： $ ps -ef 或者： $ ps -aux 此時如果我想殺了火狐的進程就在終端輸入： $ kill -s 9 1827 其中-s 9 制定 ...

轉載自: https://www.cnblogs.com/yunfeiqi/p/6676856.html ps -ef|grep LOCAL=NO|grep -v grep ...