4623 shaares
397 liens privés
397 liens privés
Programme utilisé par des attaquants pour cacher un programme.
Au lieu d'utiliser un rootkit, il gruik l'affichage de ps
en ajoutant des espaces avant la ligne du programme qu'il veut cacher. C'est fait via des appels systèmes et ça donne ça:
"""
ps auwx
...
stas 84 0.0 0.6 2012 1232 pts/0 S 19:12 0:00 bash -rcfile .bashrc
stas 440 0.0 0.1 1204 376 tty2 S 20:09 0:00 pine -i
stas 450 0.0 0.4 2544 816 tty2 R 20:12 0:00 ps auwx
...
"""
La ligne vide correspond à la ligne du programme caché. C'est old-school.
ps auwx --cols 1024
permet d'outrepasser ce hack.