这是一个在linux上伪造进程名称和cmdline的简单代码:
#include <string.h>
#include <sys/prctl.h>
#include <stdio.h>
#include <unistd.h>
#define NewName "bash"
#define ProcNameMaxLen 16
int main(int argc, char **argv){
int oldlen = strlen(*argv);
char procname[ProcNameMaxLen];
memset(*argv, 0, oldlen);
memccpy(*argv, NewName, 0, oldlen); //modify cmdline
memccpy(procname, NewName, 0, ProcNameMaxLen);
prctl(PR_SET_NAME, procname); //modify procname
sleep(60);
return 0;
}
运行此代码后,我无法通过ps查看实名,
但有些东西可以在/ proc / xxx / exe和/ proc / xxx / environ中找到,但是很麻烦。
有一种很好的方法可以查看所有过程的真实信息吗?
我认为这是一个很大的安全问题,因为我通常会在服务器上按ps检查进程。
方式1:lsof -d txt
等待更多回答......