标签: linux pid
在网络安全项目中,我的队友和我遇到了以下潜在的安全风险:
恶意软件进程会生成一个子节点,而子节点又生成一个孙子节点。 孙子被授权访问,但我们希望通过父链来发现源进程。在创建这些进程和安全检查之间,恶意软件进程会杀死其子进程,孙子现在会避开其父链并直接连接到init。
我想检测这种行为并在安全检查时否认这种情况。我正在考虑记录已创建进程的所有ppid并检测并因此拒绝所有进程的ppid已从创建更改为安全检查。
这可行吗?如果没有,有关检测流程采用的任何建议吗?