Glennie Vignarajah a écrit:
Le Friday 18 November 2005 07:38, François Boisson(François Boisson
<[EMAIL PROTECTED]>) disait:
Par recherche de processus cachés, j'entends rechercher les
processus existant mais n'apparaissant pas via ps. Comme ils
existent, je me suis aperçu qu'on pouvait quand même aller dans le
repertoire sous /proc correspondant même si ce repertoire
n'apparait pas.
C'est possible ça?
Je croyais que pour cacher un process sous linux, il fallait un ps
patché...
Et chkrootkit fonctionne de cette manière : il fait des ps et compare
les entrées dans /proc...
J'ai eu une machine compromise, checkrootkit n'a rien vu, c'est pour ça
que j'ai essayé de comprendre. Le ps n'était absolument pas patché, le
repertoire n'apparaissait pas via un ls sous /proc mais un cd PID
fonctionnait....
François Boisson
(ps: va sur mon site, tu verras le script bash qui fait cela, puis tu
peux regarder le source (en Caml :) ) du programme correspondant (plus
rapide...)
A+
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
