listps

listps проект невелика програма Linux, щоб показати всі запущені процеси, в тому числі приховані. Вона працює тільки з / Proc файлових систем.
У системах заражених з різними руткітів, як, наприклад, SuckIt 1.3E, listps зможуть явно перерахувати приховані процеси, запущені.
Він робить це, явно запитів / ргос файлову систему для ідентифікаторів процесу в діапазоні від 1 до 33000.
Вивантажено процеси друкуються в paranthesis.
Приклад виведення
У сесії нижче я встановити SuckIt 1.3E на Linux коробки, приховати два процеси (crond і Smbd) використовувати listps, щоб перерахувати їх.
По-перше, давайте встановимо SuckIt 1.3E на хості:
[Root @ Ares listps] # uname -a
Linux ares.sublevel3.org 2.4.20-20.7custom # 1 SMP Вт 23 вересня 14:30:50 CEST 2003 i686 невідомо
[Root @ Арес listps] # ./sksu
Я люблю тебе, дитинко
Показати починається тестовому режимі 0
RK_Init: IDT = 0xc0328000, SCT [] = 0xc02c68e0
kma_hint = 0x00000000
kmalloc () = 0xc012fcb0, GFP = 0x1f0
Z_Init: Виділення ядра код пам'ять ... Kinit (0xd04d9c64) SCT 0xc02c68e0
SCTP 0xbfffcde0 oldsys 0xc010cf40
Готово 11635 байт, база = 0xd04d8000
Тепер давайте приховати crond і Smbd (PID 577 і 613):
[Root @ Арес listps] # ./sksu
Я люблю тебе, дитинко
Виявлено версія: 1.3E
використовувати:
./sksu [аргументи]
т - тест інсталяції мета
е - сила інсталяції
і - видалення
я - зробити невидимим PID
v - зробити PID видимим
F [0/1] - переключення файл ховається
р [0/1] - переключення ПІД ховається
[Root @ Ares listps] # ./sksu I 577
Я люблю тебе, дитинко
Виявлено версія: 1.3E
Pid 577 прихований в даний час!
[Root @ Ares listps] # ./sksu I 613
Я люблю тебе, дитинко
Виявлено версія: 1.3E
Pid 613 прихований в даний час!
Давайте подивимося, якщо пс (1) знаходить їх:
[Root @ Арес listps] # пс auxwww | задати розширене "crond | Smbd"
корінь 2160 0,0 0,1 1516 552 балів / 1 S 15:24 0:00 задати розширене crond | Smbd
[Root @ Ares listps] #
Спробуйте запустити listps:
[Root @ Арес listps] # listps -d
  ПІД КОМАНДА
  577 crond (прихований)
  613 Smbd (прихований)
[Root @ Ares listps] #
Нарешті, давайте видалити SuckIt:
[Root @ Ares listps] # ./sksu V 577
Я люблю тебе, дитинко
Виявлено версія: 1.3E
Pid 577 видна в даний час!
[Root @ Ares listps] # ./sksu V 613
Я люблю тебе, дитинко
Виявлено версія: 1.3E
Pid 613 видно зараз!
[Root @ Арес listps] # ./sksu у
Я люблю тебе, дитинко
Виявлено версія: 1.3E
SuckIt видалити sucesfully!
[Root @ Арес listps] # listps -d
  ПІД КОМАНДА
[Root @ Ares listps] #

Що нового У цьому випуску:

• Ця версія змінює parse_args використовувати getopts (короткі зараз), читає і рухається Всі статті в структурі, робить опція -l друкувати кілька значень зі структури, і робить -p список опцій тільки один PID.