listps

listps proyecto es un programa pequeño linux para mostrar todos los procesos en ejecución, incluidos los ocultos. Sólo funciona con los sistemas de archivos / proc.
En sistemas comprometidos con diversos rootkits, como por ejemplo, suckit 1.3e, listps será capaz de enumerar explícitamente los procesos ocultos que están en ejecución.
Lo hace mediante la consulta de forma explícita el sistema de archivos / proc para los identificadores de proceso en el rango de 1 a 33.000.
Procesos cambiados se imprimen en un paréntesis.
Ejemplo de salida
En la sesión de abajo instalo suckit 1.3e en una máquina Linux, se esconden dos procesos (crond y smbd) utiliza listps enumerarlos.
En primer lugar, vamos a instalar 1.3e suckit en el host:
[Root @ ares listps] -a # uname
Linux ares.sublevel3.org 2.4.20-20.7custom # 1 SMP mar 23 de septiembre 2003 14:30:50 CEST i686 desconocida
[Root @ ares listps] # ./sksu
Te amo bebé
Mostrar empieza modo de prueba 0
RK_Init: idt = 0xc0328000, sct [] = 0xc02c68e0
kma_hint = 0x00000000
kmalloc () = 0xc012fcb0, gfp = 0x1f0
Z_Init: La asignación de memoria de código del kernel ... kinit (0xd04d9c64) sct 0xc02c68e0
sctp 0xbfffcde0 oldsys 0xc010cf40
Hecho, 11,635 bytes, base = 0xd04d8000
Ahora vamos a ocultar crond y smbd (PIDS 577 y 613):
[Root @ ares listps] # ./sksu
Te amo bebé
Versión detectada: 1.3e
utilizar:
./sksu [args]
t - prueba objetiva instalación
f - fuerza de instalación
u - desinstalación
i - hacer pid invisible
v - hacer pid visible
f [0/1] - alternar archivo escondite
p [0/1] - alternar pid escondite
[Root @ ares listps] # ./sksu i 577
Te amo bebé
Versión detectada: 1.3e
Pid 577 ahora está escondido!
[Root @ ares listps] # ./sksu i 613
Te amo bebé
Versión detectada: 1.3e
Pid 613 ahora está escondido!
Vamos a ver si ps (1) los encuentra:
[Root @ ares listps] # ps auxwww | egrep 'crond | smbd'
root 2160 0.0 0.1 1516 552 pts / 1 S 15:24 0:00 egrep crond | smbd
[Root @ ares listps] #
Intente ejecutar listps:
[Root @ ares listps] # listps -d
  PID COMANDO
  577 crond (oculto)
  613 smbd (oculto)
[Root @ ares listps] #
Por último, vamos a desinstalar suckit:
[root @ ares listps] # ./sksu v 577
Te amo bebé
Versión detectada: 1.3e
Pid 577 es visible ahora!
[root @ ares listps] # ./sksu v 613
Te amo bebé
Versión detectada: 1.3e
Pid 613 es visible ahora!
[Root @ ares listps] # ./sksu u
Te amo bebé
Versión detectada: 1.3e
Suckit desinstalado capaz de ello!
[Root @ ares listps] # listps -d
  PID COMANDO
[Root @ ares listps] #

¿Qué hay de nuevo en esta versión:

• Esta versión cambia parse_args para utilizar getopts (abreviatura de ahora), se lee y se mueve todas las estadísticas a una estructura, hace que la opción -l imprimir algunos de los valores de la estructura, y hace que la lista de opciones -p un solo PID.