查看系统隐藏进程busyboxunhide
**
Busybox
**
防止非法用户替换原有命令,导致执行命令时同时执行恶意程序。
下载busybox
#wget https://busybox.net/downloads/binaries/1.21.1/busybox-x86_64
#chmod +x busybox-x86_64
#mv busybox-x86_64 /root/busybox
更改环境命令别名
#vim /root/.bash_profile
alias busybox="/root/busybox"
alias top=“busybox top”
alias ls=“busybox ls”
alias ps=“busybox ps”
alias rm=“busybox rm”
alias cat=“busybox cat”
alias lsattr=“busybox lsattr”
alias chattr=“busybox chattr”
alias grep=“busybox grep”
alias vi=“busybox vi”
验证top命令
**
Unhide
**
绝大多数的 Rootkit 工具或者恶意软件借助内核来实现进程隐藏,这些进程只在内核内部可见。你可以使用 unhide 或者诸如 rkhunter 等工具,扫描 rootkit 程序 、后门程序以及一些可能存在的本地漏洞。
安装unhide命令
需要epel源
#wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
#yum install unhide -y
使用unhide proc查找异常进程,如果有,记录二进制文件后,直接kill该进程。二进制文件需要使用 ls -la <file_name>的方式才能发现。
unhide使用
unhide语法格式:
unhide [options] test_list
test_list 参数可以是以下测试列表中的一个或者多个标准测试:
brute
proc
procall
procfs
quick
reverse
sys
或基本测试:
checkbrute
checkchdir
checkgetaffinity
checkgetparam
checkgetpgid
checkgetprio
checkRRgetinterval
checkgetsched
checkgetsid
checkkill
checknoprocps
checkopendir
checkproc
checkquick
checkreaddir
checkreverse
checksysinfo
checksysinfo2
checksysinfo3
判断TCP/UDP端口身份
unhide-tcp 取证工具通过对所有可用的 TCP/IP 端口进行暴力求解的方式,辨别所有正在监听,却没有列入 /bin/netstat 或者 /bin/ss 命令输出的 TCP/IP 端口身份。
注一:对于 FreeBSD、OpenBSD系统,一般使用 netstat 命令取代在这些操作系统上不存在的 iproute2,此外,sockstat 命令也用于替代 fuser。
注二:如果操作系统不支持 iproute2 命令,在使用 unhide 时需要在命令上加上 -n或者 -s 选项。
#unhide-tcp
表示没有隐藏端口。
#unhide-tcp
发现三个netstat或ss命令无法显示的隐藏端口。
具体使用方法可以通过man手册查看:man unhide、man unhide-tcp
查看系统隐藏进程busyboxunhide相关推荐
- 使用etop查看系统中进程信息
2019独角兽企业重金招聘Python工程师标准>>> Erlang提供了丰富的开发工具,你认为没有的时候,很可能是你不知道它存在. 在OS中,我们经常查看操作系统的进程信息,帮助我 ...
- 查看系统各个进程打开的文件描述符数量
lsof -n |awk '{print $2}'|sort|uniq -c |sort -nr 结果是以 打开的文件描述符数量:进程号 的格式排序的 .降序排序 转载于:https://blog. ...
- WIN10 查看隐藏进程并强制终止进程
1.使用管理员身份启动cmd 2.在cmd终端输入"tasklist",即可查看系统所有进程,包括隐藏进程 3.还支持模糊查找进程,输入 "tasklist | find ...
- linux中进程unit是什么意思,Linux系统之进程及服务的控制
??系统中正在运行的程序. 2.图形的进程查看方式 ??gnome-system-monitor 3.查看进程的命令 ??whatis?ps 3.1ps ??查看进程 3.2ps?a ??查看与当前环 ...
- linux 用top命令查看系统健康状态
我们前面说过了,用ps命令来查看系统所有进程: http://blog.csdn.net/capecape/article/details/78512214 这里,本文详细介绍用top命令系查看系统健 ...
- 内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
前言 在Windows内核下,我们可以通过获取EPROCESS结构来隐藏进程,EPROCESS是微软未公开的结构体,其本质上就是双向链表的一个节点,通过修改该双向链表即可达到隐藏进程的目的.但EPRO ...
- linux系统负载查看进程,Linux查看系统的负载
有的时候突然觉得系统很慢,但是却不知道问题出在哪里,那么就需要查看系统的负载. [root@client1 ~]# top top - 17:06:38 up 2 days, 3:06, 1 us ...
- linux查找用户前三进程_查看 Linux 系统中进程和用户的内存使用情况 | Linux 中国...
有一些命令可以用来检查 Linux 系统中的内存使用情况,下面是一些更好的命令.-- Sandra Henry-stocker 有许多工具可以查看 Linux 系统中的内存使用情况.一些命令被广泛使用 ...
- linux 查看防火墙对应的进程,Linux系统防火墙进程查看的实用方法
Linux系统防火墙进程查看的实用方法 作者 HonestQiao 2008年03月17日 16:00 启动防火墙 1) 重启后生效 开启: chkconfig iptables on 关闭: chk ...
最新文章
- 数据结构:链表面试题
- 2005链接mysql_VISUAL STUDIO 2005连接MYSQL数据库
- es6-promise源码重点分析难点解析
- 前端学习(3345):数组方法的使用
- CentOS 安装 php
- 信息学奥赛C++语言:顺序输出
- zynq的emio和axi_【ZYNQ7000学习之旅 - 01】EMIO练习
- PHP源代码后门事件后续:用户数据库遭泄露或是元凶
- 【Codeforces Round #291 (Div. 2) D】R2D2 and Droid Army【线段树+二分】
- Nsight Compute与nvprof metrics 对照
- 《计算机网络》谢希仁第七版知识点总结
- 烽火计划-2020年夏-期末总结
- 14天精读掌握《陶哲轩:实分析》第11天 2019.7.18
- C#中如何隐藏滚动条(ScrollBar)同时又具备自动滚动的功能
- 这15部评分9.0以上纪录片,让你放假后足不出户就可以看遍世界!(附链接)
- Java面试基础知识,一次哔哩哔哩面试经历
- Android中的图片加载
- 佛祖保佑,永不宕机! 永无BUG!
- 图纸中bs是什么意思_景观设计图纸中TS,BF缩写什么意思?,景观施工图中TS BS TW BW LP 表示什么意识...
- 三个免费物联网平台推荐
热门文章
- 机场精细化管理_【青海机场公司召开“强化‘三基’固根本 精益管理促发展”主题交流会议】...
- 01 - AWS Organization
- 不可重复读和幻读的区别
- 在数据库EMIS1中;把日志文件初始大小修改为10MB,增长量为每次增长5MB,最大大小保持不变。
- 一图看懂,阿里云飞天企业版如何支持政企数智创新
- java中的jsp文件创建_在JSP中创建文件夹和文件
- 致远OA-A8协同管理软件无需登录getshell漏洞
- P1914 小书童——凯撒密码(python实现)
- 远程命令/代码执行漏洞(RCE)总结
- 做销售,换位思考很重要