开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

在已知PID的不同进程中为bash设置陷阱

在已知PID的不同进程中为bash设置陷阱，可以使用ptrace系统调用。ptrace允许一个进程（称为追踪者）控制另一个进程（称为被追踪者）的执行。这可以用于调试、分析或修改被追踪者的行为。

以下是一个简单的示例，展示了如何在已知PID的不同进程中为bash设置陷阱：

#include<stdio.h>
#include <stdlib.h>
#include <sys/ptrace.h>
#include <sys/types.h>
#include <sys/wait.h>
#include <unistd.h>

int main(int argc, char *argv[]) {
    if (argc != 2) {
        printf("Usage: %s <pid>\n", argv[0]);
        return 1;
    }

    pid_t pid = atoi(argv[1]);

    if (ptrace(PTRACE_ATTACH, pid, NULL, NULL) == -1) {
        perror("ptrace attach");
        return 1;
    }

    int status;
    waitpid(pid, &status, 0);

    ptrace(PTRACE_CONT, pid, NULL, NULL);

    return 0;
}

这个程序接受一个PID作为参数，然后尝试附加到该进程。如果成功，它将等待进程停止，然后继续执行。这将导致被追踪者的所有系统调用被中断，从而允许追踪者检查和修改参数和返回值。

请注意，这个示例仅用于演示目的，实际上设置陷阱的过程可能更复杂。此外，这种方法可能会导致安全问题，因此在使用之前，请确保了解所有相关的风险和法律责任。

相关搜索:gunicorn为不同的工作进程返回相同的pid 为什么bash中的陷阱在赋值为空变量时抛出错误为bash中的进程预填充stdin celery -为不同的队列设置不同数量的工作进程在Flutterwave中为不同的货币设置不同的金额无法在python中按名称获取进程的PID 如何获取在容器中运行的进程的主机pid？从不同服务器的ssh进程grep输出中读取pid 在CAShapeLayer中为不同的角设置动画如何在它自己的SIGCHLD处理程序中获取设置进程的PID？在bash脚本中设置的日期在iOS 15中为不同的UITabBarItem设置不同的文本颜色在bash脚本中获取正确的进程数在android中为库项目设置不同的主题在bash中为给定文件设置的不带空格的符号链接在python中通过进程名称获取PID的跨平台方法在bash脚本中,如何从使用eval命令执行的程序中获取PID？在Android Studio中为每个方向设置不同的约束在bash上异步运行远程进程，并在文件中获取其远程pid、stdout+stderr和退出代码如何使用awk为在bash中创建的新用户设置密码

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

eBPF 入门开发实践指南四：在 eBPF 中捕获进程打开文件的系统调用集合，使用全局变量过滤进程 pid

本文是 eBPF 入门开发实践指南的第四篇，主要介绍如何捕获进程打开文件的系统调用集合，并使用全局变量在 eBPF 中过滤进程 pid。...在 eBPF 中捕获进程打开文件的系统调用集合首先，我们需要编写一段 eBPF 程序来捕获进程打开文件的系统调用，具体实现如下： #include #include <bpf/...这个函数通过使用 bpf_get_current_pid_tgid 函数获取调用 openat 系统调用的进程 ID，并使用 bpf_printk 函数在内核日志中打印出来。...使用全局变量在 eBPF 中过滤进程 pid 在上面的程序中，我们定义了一个全局变量 pid_target 来指定要捕获的进程的 pid。...在 eBPF 程序中，我们还可以通过定义一个全局变量 pid_target 来指定要捕获的进程的 pid，从而过滤输出，只输出指定的进程的信息。

1.9K1 0

eBPF 入门开发实践教程四：在 eBPF 中捕获进程打开文件的系统调用集合，使用全局变量过滤进程 pid

本文是 eBPF 入门开发实践教程的第四篇，主要介绍如何捕获进程打开文件的系统调用集合，并使用全局变量在 eBPF 中过滤进程 pid。...将程序许可证设置为 "GPL"，这是运行 eBPF 程序的必要条件。这个 eBPF 程序可以通过 libbpf 或 eunomia-bpf 等工具加载到内核并执行。...这种设计使得用户态程序能够在运行时动态地控制 eBPF 程序的行为。在我们的例子中，全局变量 pid_target 用于过滤进程 PID。...用户态程序可以设置此变量的值，以便在 eBPF 程序中只捕获与指定 PID 相关的 sys_openat 系统调用。...在 eBPF 程序中，我们还可以通过定义一个全局变量 pid_target 来指定要捕获的进程的 pid，从而过滤输出，只输出指定的进程的信息。

5911 0

入侵检测之syscall监控

当遇到特定中断以获取执行或作为持久性机制时，可以使用它来注册要执行的代码。陷阱命令具有以下格式的陷阱“命令列表”信号，其中在收到“信号”时将执行“命令列表”。...信号的主要用途： 1.使一个进程意识到一个特殊事件发生了(不同的事件用不同的signal标识) 2.并使目标进程进行相应处理(eg: 执行的信号处理函数,signal handler).相应的处理也可以是忽略它...开启另外的终端，监听本地的4444端口反向跟踪，可以看到调用的syscall为ptrace 0x06:持久化之文件属性syscall监控在权限提升和持久化中，设置setuid或setgid位，使应用程序将分别以拥有用户或组的特权运行...其主要原理为将标准输入以及标准输出是否指向一个socket或pipe 以最简单的bash反弹为例： Linux bash是从左向右读取这条命令的，首先系统会创建bash -i子进程，并分配文件描述符：...对应的syscall为execve，对应的命令监控内容可以参考系列中的另外一篇：ATT&CK矩阵linux系统实践/命令监控 0x09:隐藏痕迹之系统设置之syscall监控 touch命令用于修改文件或者目录的时间属性

2.6K1 0

shell | 不同执行方式的区别

也可以在 bash 环境中获取到脚本中设置的变量 [root@lvbibir ~]# cat > test.sh << EOF > #!...@lvbibir ~]# echo $number 22 [root@lvbibir ~]# 其他问题# 关于是否在子 bash 环境运行的区别出了变量问题还会存在一些其他影响，如下测试已知目前存在一个...mysqld 进程，其 pid 为 29426 ，写一个监控pid的脚本 [root@lvbibir ~]# cat test.sh #!.../test.sh mysqld 27396 27397 29426 新开一个终端，查看进程第一个pid是在子shell中执行监控脚本的进程号第二个pid不太清楚哪里来的，也grep不到这个进程号，...应该是脚本执行一瞬间就释放掉了第三个pid是mysql实际运行中的进程号实际中脚本的pid和mysqld的pid顺序不太一样，取决于pid的大小在脚本再添加个 grep 过滤掉脚本本身的进程来规避这个问题

5561 0

Shell：子shell概念

目录 shell环境什么是子shell 子shell的分类 shell环境每个shell进程有一个自己的运行环境，不同的Shell进程有不同的Shell环境。...子Shell的本质可以理解为Shell的子进程，子进程的概念是由父进程的概念引申而来的，在Linux系统中，系统运行的应用程序几乎都是从init（pid为1的进程）进程派生而来的，所有这些应用程序都可以视为...子shell会从父shell中继承很多环境，如变量、命令全路径、文件描述符、当前工作目录、陷阱等等，但子shell有很多种类型，不同类型的子shell继承的环境不相同。...可以使用$BASH_SUBSHELL变量来查看从当前进程开始的子shell层数，$BASHPID查看当前所处BASH的PID，这不同于特殊变量$$值，因为$$在大多数情况下都会从父shell中继承。...注释：使用 fork() 函数可以创建一个子进程；除了 PID（进程ID）等极少的参数不同外，子进程的一切都来自父进程，包括代码、数据、堆栈、打开的文件等，就连代码的执行位置（状态）都是一样的。

1.3K3 0

Linux进程基础

同一个程序可以执行多次，每次都可以在内存中开辟独立的空间来装载，从而产生多个进程。不同的进程还可以拥有各自独立的IO接口。　　...-bash 　　23774 16939 ps -o pid,ppid,cmd 　　我们可以看到，第二个进程bash是第一个进程sudo的子进程，而第三个进程ps是第二个进程的子进程。　　...由此，就可以在子进程建立之后，让它执行与父进程不同的功能。　　...在这个信息里，会解释该进程为什么退出。父进程在得知子进程终结时，有责任对该子进程使用wait系统调用。这个wait函数能从内核中取出子进程的退出信息，并清空该信息在内核中所占据的空间。...当大量僵尸进程积累时，内存空间会被挤占。　　进程与线程(thread) 　　尽管在UNIX中，进程与线程是有联系但不同的两个东西，但在Linux中，线程只是一种特殊的进程。

2.5K3 0

C#.NET 中启动进程时所使用的 UseShellExecute 设置为 true 和 false 分别代表什么意思？

在 .NET 中创建进程时，可以传入 ProcessStartInfo 类的一个新实例。在此类型中，有一个 UseShellExecute 属性。...---- 本质差异 Process.Start 本质上是启动一个新的子进程，不过这个属性的不同，使得启动进程的时候会调用不同的 Windows 的函数。...那你自然也就了解此属性设置为 true 和 false 的区别了。...但是：支持重定向输入和输出如何选择 UseShellExecute 在 .NET Framework 中的的默认值是 true，在 .NET Core 中的默认值是 false。...如果有以下需求，那么建议设置此值为 false：需要明确执行一个已知的程序需要重定向输入和输出如果你有以下需求，那么建议设置此值为 true 或者保持默认：需要打开文档、媒体、网页文件等需要打开

1.2K2 0

第三十七章 : 奇珍异宝

在我们 bash 学习旅程中的最后一站，我们将看一些零星的知识点。当然我们在之前的章节中已经涵盖了很多方面，但是还有许多 bash 特性我们没有涉及到。...虽然组命令和子 shell 看起来相似，并且它们都能用来在重定向中合并流，但是两者之间有一个很重要的不同之处。...在这个例子中，我们看到该子脚本是非常简单的。真正的操作通过父脚本完成。在父脚本中，子脚本被启动，并被放置到后台运行。子脚本的进程 ID 记录在 pid 变量中，这个变量的值是 $!...父脚本继续，然后执行一个以子进程 PID 为参数的 wait 命令。这就导致父脚本暂停运行，直到子脚本退出，父脚本随之结束。...这是因为在管道的另一端没有任何对象来接收数据。这种现象被称为管道阻塞。一旦我们绑定一个进程到管道的另一端，该进程开始从管道中读取输入的时候，管道阻塞现象就不存在了。

6121 0

Linux中fuser命令用法详解

在zkfc的日志里面，有一个warn：PATH=$PATH:/sbin:/usr/sbin fuser -v -k -n tcp 8090 via ssh: bash: fuser: 未找到命令原因是最小化安装...F：打开的文件，用于写操作。默认不显示。 r：指示该目录为进程的根目录。 m：指示进程使用该文件进行内存映射，抑或该文件为共享库文件，被进程映射进内存。...-k：杀掉访问文件的进程。如果没有指定-signal就会发送SIGKILL信号。 -i：杀掉进程之前询问用户，如果没有-k这个选项会被忽略。 -l：列出所有已知的信号名称。...-u：在每个PID后面添加进程拥有者的用户名称。 -v：详细模式。输出似ps命令的输出，包含PID,USER,COMMAND等许多域,如果是内核访问的那么PID为kernel....– 重置所有的选项，把信号设置为SIGKILL. 参数文件：可以是文件名或者TCP、UDP端口号。

2.3K2 1

【DB笔试面试700】在Oracle中，如何彻底杀掉会话？V$SESSION的STATUS为KILLED如何找到后台OS进程？

♣ 题目部分在Oracle中，如何彻底杀掉会话？V$SESSION的STATUS为KILLED的情况下如何找到相关的后台OS进程？...所有所持有的资源，所以，在执行完ALTER SYSTEM KILL SESSION后，会话还是一直存在（V$SESSION视图中存在，且后边OS进程也存在）。...所以，在执行命令KILL SESSION的时候，可以在后边加上IMMEDIATE，这样在没有事务的情况下，相关会话就会立即被删除而不会变为KILLED的状态（V$SESSION视图中不存在），当有事务存在的情况下...另外，由于变为KILLED状态的会话的PADDR列都变成了另外一个值，因此，通过平常的连接方式就没有办法关联到后台进程，在Oracle 11g下提供了CREATOR_ADDR列，该列可以关联到后台进程，...对于Oracle 10g可以通过特殊的SQL找到后台的进程号。

2.3K1 0

Tomcat进程意外退出，元凶居然是他...

/bin/sh sleep 4400 & echo "shell exit" 运行a.sh脚本之后，sleep 4400进程的pid与pgid是不同的，pgid是其父进程的id，即已经退出了的a.sh...交互模式与非交互模式对作业控制(job control)默认方式不同为什么在交互模式下shell不会对后台进程处理SIGINT信号设置为忽略，而非交互模式下会设置为忽略呢？...因为默认如果采用父进程的进程组ID，父进程会把收到的键盘事件比如ctrl-c之类的SIGINT传播给进程组中的每个成员，假设后台进程也是父进程组的成员，因为作业控制的需要不能忽略SIGINT，你在终端随意...ctrl-c就可能导致所有的后台进程退出，显然这样是不合理的；所以为了避免这种干扰后台进程设置为自己的pgid。...不开启作业控制的话，脚本里的后台进程可以通过设置忽略SIGINT信号来避免父进程对组中成员的传播，因为对它来说这个信号已经没有意义。

4K1 0

Tomcat 进程意外突崩，元凶居然是它...

/bin/sh sleep 4400 & echo "shell exit" 运行a.sh脚本之后，sleep 4400进程的pid与pgid是不同的，pgid是其父进程的id，即已经退出了的a.sh...交互模式与非交互模式对作业控制(job control)默认方式不同为什么在交互模式下shell不会对后台进程处理SIGINT信号设置为忽略，而非交互模式下会设置为忽略呢？...因为默认如果采用父进程的进程组ID，父进程会把收到的键盘事件比如ctrl-c之类的SIGINT传播给进程组中的每个成员，假设后台进程也是父进程组的成员，因为作业控制的需要不能忽略SIGINT，你在终端随意...ctrl-c就可能导致所有的后台进程退出，显然这样是不合理的；所以为了避免这种干扰后台进程设置为自己的pgid。...不开启作业控制的话，脚本里的后台进程可以通过设置忽略SIGINT信号来避免父进程对组中成员的传播，因为对它来说这个信号已经没有意义。

1.1K1 0

linux杀死进程的五种方法「建议收藏」

-i 交互方式，在杀死进程之前征求确认信息。 -l 列出所有已知的信号名。 -q 如果没有进程杀死, 不会提出抱怨。 -v 报告信号是否成功发送。 -V 显示版本信息。...KNOWN bugS (已知 BUGS) 以文件方式杀死只对那些在执行时一直打开的可执行文件起作用, 也即, 混杂的可执行文件不能够通过这种方式杀死。...在两次扫描的间隙, 如果进程消失了而被代之以一个有同样 PID 的新进程, killall -w 侦测不到。...l 显示长列表在终端中执行ps aux, 各列输出字段的含义： USER 进程所有者 PID 进程ID PPID 父进程 %CPU...　　例如在Ubuntu中强制结束一个已成僵尸的名称为：firefox，PID为：1603的进程，可以如下操作：　　方法一：　　（1）ctrl+alt+t，调出终端，输入 top，然后就可以看到现在系统的进程

42.6K5 0

1.必须掌握的Linux命令

SHELL的值，并将其输出到屏幕上： [root@linuxprobe ~]# echo $SHELL /bin/bash 2．date命令 date命令用于显示或设置系统的时间与日期，语法格式为“date...列出已知时区 set-time 设置系统时间 set-timezone 设置生效时区查看系统时间与时区的方法如下： [root@linuxprobe ~]# timedatectl status...在top命令输出的结果中，PR和NI值代表的是进程的优先级，数字越低（取值范围是-20～19），优先级越高。...在日常的生产工作中，可以将一些不重要进程的优先级调低，让紧迫的服务更多地利用CPU和内存资源，以达到合理分配系统资源的目的。...每个进程的进程号码值（PID）是唯一的，可以用于区分不同的进程。

5165 0

linux 控制脚本-处理信号~作业控制

，进程会丢掉到 STDOUT和STDERR的链接。...为了保存命令产生的输出，nohup命令会自动将STDOUT和STDERR的消息重定向到一个nohup.out的文件中。...jobs [1]+ Stopped sh ss [2]- Running sh ss > sss & $$用来显示linux分配给该脚本的PID...此时命令行提示符不会出现，知道该作业完成 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ -20最高优先级 19最低优先级 nice命令允许在启动时调整一个命令的调度优先级...你只能对属于你的进程执行renice命令你只能通过renice命令降低进程的优先级 root用户可以通过renice调整任何进程的优先级

1.1K2 0

2022年HW蓝方技战法总结

由于运维人员也会执行bash、nc等指令，为避免误报，递归分析shell日志每条命令的父进程，如果发现是web类进程调用shell则出发告警（如父进程是java、httpd 子进程是sh、python）...2、配置虚拟进程完成本机的诱捕陷阱后，需要对虚拟机周围形成联动的诱捕体系，以防止攻击者绕过本机陷阱，直接对网络可达的其他主机进行渗透。可通过配置虚拟进程，模仿真实的高危服务，与真实业务共同对外发布。...选定具有为授权访问漏洞的数据库服务作为陷阱模板。为保证拟真性，需详细分析每个应用系统真实业务模式，针对性的部署redis、zookeeper、es、mongodb等虚拟进程。...3、基于地域维度分析由于多地部署方式，不同数据中心所处网络位置不同，如果多个数据中心同时增加了新增访问ip，则该ip为对制定单位的攻击ip。...，将该序列在威胁情报库中应用威胁相似度计算模型，计算情报库中相似度高的攻击序列。

3.3K2 0

进程组、会话、控制终端概念，如何创建守护进程？

例如登陆shell（例如bash）通过调用int tcsetpgrp(int fd, pid_t pgrp); 函数设置为某个进程组pgrp关联终端设备fd，该函数执行成功后，该进程组pgrp成为前台进程组...当在shell里运行一行命令后（不带&）创建一个新的进程组，命令行中如果有多个命令会创建多个进程，这些进程都处于该新建进程组中，shell将该新建的进程组设置为前台进程组并将自己暂时设置为后台进程组。...守护进程创建流程守护进程创建流程如下： 1. 创建子进程，父进程退出 2. 在子进程中创建新会话 3. 改变当前目录为根目录 4. 重设文件权限掩码 5....在Linux中，每当系统发现一个孤儿进程，就会自动由1号进程收养。原先的子进程就会变成init进程的子进程。 2. 在子进程中创建新会话 setsid()函数的作用。...设置文件权限掩码的函数是umask()。在这里，通常的使用方法为umask(0)。即赋予最大的能力。 5.

1.5K2 0

系统进程管理查看

； -n：选择不同的名称空间，指定关键字进行搜索,如文件、UDP、TCP -u：在每个进程后显示所属的用户名。...--lines：设置显示画面的列数。 --no-headers：此选项的效果和指定"h"选项相同，只在列表格式方面稍有差异。...，系统为每一个进程分配一个识别码，称为PID VSZ:该进程使用的虚拟內存量（KB） RSS:该进程占用的固定內存量（KB）（驻留中页的数量） (RSS is the “resident set size...命令 - 进程杀死描述：用来在Linux杀死执行中的程序或工作进程的命令， kill可将指定的信息送至程序，预设的信息为SIGTERM(15),可将指定程序终止，若仍无法终止该程序，可使用SIGKILL...unshare --mount /bin/bash # 2.隔离ipc的Namespace unshare --ipc /bin/bash # 3.把当前进程的 user namespace 设置成了

8842 0

从进程组、会话、终端的概念深入理解守护进程

sshd(10177) ps：进程和进程组ID都是 10263，父进程是 bash(10179)，因为是在 Shell 上执行的命令 cat：进程组 ID 与 ps 的进程组 ID 相同，父进程同样是...3、会话(session) 多个进程组构成一个「会话」，建立会话的进程是会话的领导进程，该进程 ID 为会话的 SID。会话中的每个进程组称为一个「作业」。...4、设置当前目录为根目录如果守护进程的当前工作目录是/usr/home目录，那么管理员在卸载/usr分区时会报错的。为了避免这个问题，可以调用chdir()函数将工作目录设置为根目录/。...5、设置文件权限掩码文件权限掩码是指屏蔽掉文件权限中的对应位。由于使用 fork()函数新建的子进程继承了父进程的文件权限掩码，这就给该子进程使用文件带来了诸多的麻烦。...该守护进程在启动时会读一个配置文件/etc/syslog.conf。该文件决定了不同种类的消息会发送向何处。

1.1K2 0

短小精干的Unix类后门Tiny shell的使用与分析

值 FAKE_PROC_NAME 是用于伪装显示后门运行后的进程名字，比如这里设置为/bin/bash, 那么后门运行后，用ps -ef 或者netstat 查看，则显示的执行程序是/bin/bash...这里修改成bash mv tshd bash 如果不修改的话，直接运行后门进程，则使用lsof -i:8080 查看， COMMAND不会显示为tsh.h设置的伪装的进程名字所以这里要修改一下可执行文件名字...被控端进程也是守护进程，PID为3082 大约30秒后（这个等待时间可在编译时设置，见上文），被控端shell就反弹到了控制端然后此时查看被控端相关和后门相关进程信息：其中 -bash 是真实的bash...进程这里的PID为3082、3147都是后门守护进程，伪装成了’/bin/bash’, PID为3148的进程是后门守护进程执行系统命令exec /bin/bash —login 反弹出来的shell...，父进程退出，这样fork出来的子进程就会成为孤儿进程被init托管（也就是pid为3048的进程）当PID 为3048的这个进程成功连接上控制端监听的端口之后，则又fork一个进程用（姑且称之为子进程

5.6K5 1

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭