listps

listps project is een klein Linux programma om alle lopende processen, met inbegrip van verborgen degenen tonen. Het werkt alleen met / proc bestandssystemen.
Op systemen gecompromitteerd met diverse rootkits, zoals bv suckit 1.3E, zal listps kunnen expliciet lijst verborgen processen die worden uitgevoerd.
Het doet dit door expliciet het bevragen van de / proc bestandssysteem voor proces-id's in het bereik van 1-33.000.
Geswapt processen worden afgedrukt in haakjes.
Voorbeeld uitgang
In de sessie hieronder installeer ik suckit 1.3E op een linux doos, verbergen twee processen (crond en smbd) gebruiken listps om ze te tonen.
Laten we eerst eens installeren suckit 1.3E op de host:
[Root @ are listps] # uname -a
Linux ares.sublevel3.org 2.4.20-20.7custom # 1 SMP Din september 23 14:30:50 CEST 2003 i686 onbekend
[Root @ are listps] # ./sksu
Ik hou van jou baby
Show begint Test mode 0
RK_Init: idt = 0xc0328000, sct [] = 0xc02c68e0
kma_hint = 0x00000000
kmalloc () = 0xc012fcb0, GFP = 0x1f0
Z_Init: toewijzen kernel-code geheugen ... kinit (0xd04d9c64) SCT 0xc02c68e0
SCTP 0xbfffcde0 oldsys 0xc010cf40
Gedaan, 11635 bytes, base = 0xd04d8000
Laten we nu eens te verbergen crond en smbd (PID's 577 en 613):
[Root @ are listps] # ./sksu
Ik hou van jou baby
Gedetecteerd versie: 1.3E
Gebruik:
./sksu [args]
t - testen instalation doel
f - force instalation
u - uninstall
i - maak pid onzichtbaar
v - maak pid zichtbaar
f [0/1] - toggle bestand schuilplaats
p [0/1] - toggle pid schuilplaats
[Root @ are listps] # ./sksu i 577
Ik hou van jou baby
Gedetecteerd versie: 1.3E
Pid 577 wordt nu verborgen!
[Root @ are listps] # ./sksu i 613
Ik hou van jou baby
Gedetecteerd versie: 1.3E
Pid 613 wordt nu verborgen!
Laten we eens zien of ps (1), vindt ze:
[Root @ are listps] # ps auxwww | egrep 'crond | smbd'
wortel 2160 0.0 0.1 1516 552 pnt / 1 S 15:24 00:00 egrep crond | smbd
[Root @ are listps] #
Probeer lopen listps:
[Root @ are listps] # listps -d
  PID BEVEL
  577 crond (verborgen)
  613 smbd (verborgen)
[Root @ are listps] #
Tot slot, laten verwijderen suckit:
[Root @ are listps] # ./sksu v 577
Ik hou van jou baby
Gedetecteerd versie: 1.3E
Pid 577 is nu zichtbaar!
[Root @ are listps] # ./sksu v 613
Ik hou van jou baby
Gedetecteerd versie: 1.3E
Pid 613 is nu zichtbaar!
[Root @ are listps] # ./sksu u
Ik hou van jou baby
Gedetecteerd versie: 1.3E
Suckit verwijderd sucesfully!
[Root @ are listps] # listps -d
  PID BEVEL
[Root @ are listps] #

Wat is nieuw in deze release:

• Deze versie verandert parse_args om getopts (kort voor nu) te gebruiken, leest en moves alle van de statistieken tot een structuur, maakt de -l optie drukt u een paar van de waarden van de structuur, en maakt de optie -p lijst slechts een enkele PID.