这是一个简单的代码,可以在Linux上伪造进程名称和命令行:
#include <string.h>
#include <sys/prctl.h>
#include <stdio.h>
#include <unistd.h>
#define NewName "bash"
#define ProcNameMaxLen 16
int main(int argc, char **argv){
int oldlen = strlen(*argv);
char procname[ProcNameMaxLen];
memset(*argv, 0, oldlen);
memccpy(*argv, NewName, 0, oldlen); //modify cmdline
memccpy(procname, NewName, 0, ProcNameMaxLen);
prctl(PR_SET_NAME, procname); //modify procname
sleep(60);
return 0;
}
运行这段代码后,我无法通过ps查看真实名称,
但是可以在/proc/xxx/exe和/proc/xxx/environ中找到一些内容,但是非常麻烦。
有没有一种好的方法可以查看所有进程的真实信息?
我认为这是一个很大的安全问题,因为我通常会在我的服务器上使用ps检查进程。
方法1:lsof -d txt
等待更多答案...