linux隱藏進程
『壹』 在linux下如何實現進程的隱藏
要實現Linux下的文件隱藏是很麻煩的,郁悶阿!下面的方法不一定可用,你還是用點吧。
大部分屬性在文件系統的安全管理方面起很重要的作用。關於以上屬性的詳細描述請兄弟們查閱chattr的在線幫助man,注意多數屬性須要由root來施加。
通過chattr設置檔案的隱藏許可權!
[root]#chattr --help
Usage: chattr [-RV] [-+=AacDdijsSu] [-v version] files...
參數或選項描述:
-R:遞歸處理,將指定目錄下的所有文件及子目錄一並處理。
-V:顯示詳細過程有版本編號。
-v:設定文件或目錄版本(version)。
+ :在原有參數設定基礎上,追加參數。
- :在原有參數設定基礎上,移除參數。
= :更新為指定參數設定。
A:文件或目錄的 atime (access time)不可被修改(modified), 可以有效預防例如手提電腦磁碟I/O錯誤的發生。
S:硬碟I/O同步選項,功能類似sync。
a:即append,設定該參數後,只能向文件中添加數據,而不能刪除,多用於伺服器日誌文 件安全,只有root才能設定這個屬性。
c:即compresse,設定文件是否經壓縮後再存儲。讀取時需要經過自動解壓操作。
d:即no mp,設定文件不能成為mp程序的備份目標。
i:設定文件不能被刪除、改名、設定鏈接關系,同時不能寫入或新增內容。i參數對於文件 系統的安全設置有很大幫助。
j:即journal,設定此參數使得當通過mount參數:data=ordered 或者 data=writeback 掛 載的文件系統,文件在寫入時會先被記錄(在journal中)。如果filesystem被設定參數為 data=journal,則該參數自動失效。
s:保密性地刪除文件或目錄,即硬碟空間被全部收回。
u:與s相反,當設定為u時,數據內容其實還存在磁碟中,可以用於undeletion.
各參數選項中常用到的是a和i。a選項強制只可添加不可刪除,多用於日誌系統的安全設定。而i是更為嚴格的安全設定,只有superuser (root) 或具有CAP_LINUX_IMMUTABLE處理能力(標識)的進程能夠施加該選項。我們來舉一個例子:
[root]#touch chattr_test
[root]#chattr +i chattr_test
[root]#rm chattr_test
rm: remove write-protected regular empty file `chattr_test`? y
rm: cannot remove `chattr_test`: Operation not permitted
呵,此時連root本身都不能直接進行刪除操作,必須先去除i設置後再刪除。
chattr命令的在線幫助詳細描述了各參數選項的適用范圍及bug提示,使用時建議兄弟們仔細查閱。由於上述的這些屬性是隱藏的,查看時需要使用lsattr命令,以下簡述之。
lsattr命令格式:
[root]#lsattr [-RVadlv] [files...]
參數或選項說明:
-R:遞歸列示目錄及文件屬性。
-V:顯示程序版本號。
-a:顯示所有文件屬性,包括隱藏文件(.)、當時目錄(./)及上層目錄(../)。
-d:僅列示目錄屬性。
-l:(此參數目前沒有任何作用)。
-v:顯示文件或目錄版本。
例:
[root]#chattr +aij lsattr_test
[root]#lsattr
----ia---j--- ./lsattr_test
參考資料:我想知道網
『貳』 linux隱藏進程除了hook系統調用還有什麼方法
在「任務管理器」里找到「kadb.exe」,按右鍵,按「打開文件位置」就知道了。是KuGou的
『叄』 python如何監測Linux隱藏進程
我理解你說的隱藏進程可能是類似惡意軟體隱藏自身的進程。
python可以通過讀取/proc的結果來對比ps的結果來找到和監視這些隱藏的進程。
『肆』 求助,增加linux隱藏進程的系統調用的辦法
#include #include int main() { int pid; pid = fork(); if (pid < 0) { printf("Failed to fork!\n"); return 1; } if (pid > 0) { wait(NULL); } else { execlp("/bin/ls", "/bin/ls", "-l", NULL); } return 0; }
『伍』 linux系統後台無法使用命令進行操作怎麼辦註:無法重起機子,無法殺進程等。。
Windows XP/2000的任務管理器是一個非常有用的工具,能讓你看到系統中正在運行哪些程序(進程),只要你平時多看任務管理器中的進程列表,熟悉系統的基本進程,就可以隨時發現可疑進程,這對防範木馬和病毒大有裨益!不過有一些可疑進程,你用任務管理器卻無法殺掉,這該怎麼辦呢?
一、哪些系統進程不能關掉
Windows運行的時候,會啟動多個進程。只要你按下「Ctrl+Alt+Del」鍵打開任務管理器,點擊「查看」/選擇列,勾選「PIO(進程標識符)」,然後單擊「進程」標簽,即可看到這些進程。不過有一些進程個人用戶根本用不到,例如Systray.exe(顯示系統托盤小喇叭圖標)、Ctfmon.exe(微軟Office輸入法)、Winampa.exe等,我們完全可以禁止它們,這樣做並不會影響系統的正常運行。
二、如何關閉任務管理器殺不了的進程
如果你在任務管理器中無法關閉某個可疑進程,可以使用下面的方法強行關閉,注意不要殺掉進程表中的系統核心進程:
1. 使用Windows XP/2000自帶的工具
從Windows 2000開始,Windows系統就自帶了一個用戶態調試工具Ntsd,它能夠殺掉大部分進程,因為被調試器附著的進程會隨調試器一起退出,所以只要你在命令行下使用Ntsd調出某進程,然後退出Ntsd即可終止該進程,而且使用Ntsd會自動獲得Debug許可權,因此Ntsd能殺掉大部分的進程。
操作方法:單擊「開始」/程序/附件/命令提示符,輸入命令:ntsd -c q -p PID(把最後那個PID,改成你要終止的進程的PID)。在進程列表中你可以查到某個進程的PID,例如我們要關閉圖1中的Explorer.exe進程,輸入:ntsd -c q -p 408即可。
以上參數-p表示後面跟隨的是進程PID, -c q表示執行退出Ntsd的調試命令,從命令行把以上參數傳遞過去就行了。
2. 使用專門的軟體來殺進程
任務管理器殺不掉的進程,你可以使用專門的軟體關閉。有很多軟體可以殺進程,例如進程殺手、IceSword、柳葉擦眼、系統查看大師、Kill process等。
(1)進程殺手2.5()
它能夠瀏覽系統中正在運行的所有進程,包括用Ctrl+Alt+Del 看不到的進程,可以精簡進程、自動中止系統基本進程以外的所有進程,對木馬和病毒進程有一定清除作用,你可以用它隨時中止任一個正在運行的進程,選中該進程,按「中止進程」按鈕即可。
(2)IceSword()
如今系統級木馬後門功能越來越強,一般都可輕易隱藏進程、埠、注冊表、文件信息,普通進程工具根本無法發現這些「幕後黑手」。IceSword使用大量新穎的內核技術,可以查出所有隱藏進程。
要查看當前進程,請點擊「進程」按鈕,在右部列出的進程中,隱藏的進程會以紅色醒目地標記出,以方便查找系統級後門。如果要結束某進程,可以先選中它(按住Ctrl鍵可選擇多個進程),然後使用右鍵菜單的「結束進程」,即可關閉之。
(3)柳葉擦眼
它可以列出系統中所有的進程(包括隱藏的),並可以殺死進程,能自動標示出系統文件,自動中止基本進程外的所有進程,還具有IE保護功能。
運行軟體後,單擊「柳葉擦眼」可以顯示當前正在運行的所有進程,你只需注意那些「定義級別」為「未知」及「危險」的進程,按「降妖伏魔」按鈕關閉它們即可。
(4)系統查看大師1.0
目前許多木馬都是在後台運行的,它們運行時會隱藏自己的窗口,因此你無法在屏幕上看到它們。該軟體可以獲取隱藏的不可見窗口,讓你發現木馬蹤影、關閉之。
軟體運行後,在左側視圖中點擊「取不可見窗口」按鈕,右側的窗口中就會顯示出所有當前運行的、隱藏的不可見窗口標題,選定其中的可疑窗口,然後點擊右下端的「結束此窗口」按鈕,即可關閉之。如果你要關閉某進程,可以單擊「進程列表」按鈕,選中該進程,然後右擊滑鼠在彈出的窗口中,單擊「結束進程」即可。
『陸』 如何查看隱藏進程後台程序 什麼的。。
不懂電腦的人要想看懂也容易,打開360,功能大全 ,進程管理器,里邊有詳細的說明
你也可以下載一個冰刃 冰刃可以看到進程的PID 然後按上面的操作 那個PID是數字組成! 冰刃可以直接 結束 最好去下個 進程管理器
它的任務管理器中隱藏進程顯示為紅色
如果你裝有360安全衛士,它裡面的流量管理裡面就可以查看電腦正在運行的一切後台程序,包括一些隱藏進程都可以查看。你還可以下載一些埠查看器進行查看正在運行的一切後台程序。你還可以用系統自帶的任務管理器進行查看後台所有進程。 回答者: