Process Stack Faker (cheats on "ps auwx" output)
vendredi 3 avril 2015 à 16:51@jeekajoo shaarlinks 03/04/2015
Programme utilisé par des attaquants pour cacher un programme.
Au lieu d'utiliser un rootkit, il gruik l'affiche de `ps` en ajoutant des espaces avant la ligne du programme qu'il veut cacher. C'est fait via des appels systèmes et ça donne ça:
"""
# ps auwx
...
stas 84 0.0 0.6 2012 1232 pts/0 S 19:12 0:00 bash -rcfile .bashrc
stas 440 0.0 0.1 1204 376 tty2 S 20:09 0:00 pine -i
stas 450 0.0 0.4 2544 816 tty2 R 20:12 0:00 ps auwx
...
"""
La ligne vide correspond à la ligne du programme caché. C'est old-school.
`ps auwx --cols 1024` permet d'outrepasser ce hack.
(Permalink)
Programme utilisé par des attaquants pour cacher un programme.
Au lieu d'utiliser un rootkit, il gruik l'affiche de `ps` en ajoutant des espaces avant la ligne du programme qu'il veut cacher. C'est fait via des appels systèmes et ça donne ça:
"""
# ps auwx
...
stas 84 0.0 0.6 2012 1232 pts/0 S 19:12 0:00 bash -rcfile .bashrc
stas 440 0.0 0.1 1204 376 tty2 S 20:09 0:00 pine -i
stas 450 0.0 0.4 2544 816 tty2 R 20:12 0:00 ps auwx
...
"""
La ligne vide correspond à la ligne du programme caché. C'est old-school.
`ps auwx --cols 1024` permet d'outrepasser ce hack.
(Permalink)