Glennie Vignarajah a écrit:
Le Friday 18 November 2005 07:38, François Boisson(François Boisson <user.anti-spam@maison.homelinux.net>) disait:Par recherche de processus cachés, j'entends rechercher les processus existant mais n'apparaissant pas via ps. Comme ils existent, je me suis aperçu qu'on pouvait quand même aller dans le repertoire sous /proc correspondant même si ce repertoire n'apparait pas.C'est possible ça?Je croyais que pour cacher un process sous linux, il fallait un ps patché... Et chkrootkit fonctionne de cette manière : il fait des ps et compare les entrées dans /proc...
J'ai eu une machine compromise, checkrootkit n'a rien vu, c'est pour ça que j'ai essayé de comprendre. Le ps n'était absolument pas patché, le repertoire n'apparaissait pas via un ls sous /proc mais un cd PID fonctionnait....
François Boisson(ps: va sur mon site, tu verras le script bash qui fait cela, puis tu peux regarder le source (en Caml :) ) du programme correspondant (plus rapide...)
A+