我在linux系统上找到了一个torjan,它使用了一种称为" fast fork"的方法,例如下面的代码
while(1)
{
count += 1;
pid_t pid = fork();
if (pid < 0)
{
printf("there is something wrongn");
}
if (pid > 0) // father process
{
/* every 0x1000 times fork run the evil code once */
if (count & 0xfff)
{
exit(0);
}
/* stop the program if the job isn't done in XXs */
alarm(XX);
// evil code
}
}
它确实有效,您无法通过ps aux
找到它,无论如何是否可以找到该过程并在没有重新启动的情况下杀死它?P.S.代码作为普通用户(不是root)运行,我也没有root访问。
如果每个叉子之后该过程名称不更改,则可以使用称为"快速杀死"的方法,例如此
$ while true; do killall -9 process_name; done
(但是,如果删除了原始文件,如何获取过程名称?对不起,我没有足够的声誉来添加评论)