'隐形斗篷' - Slash-Proc魔法

2024-11-08

本文探讨了一种利用bind mount技术隐藏进程的方法,该方法可使进程从进程列表中消失,但仍能保持其功能。文章通过在目标主机上执行Sliver二进制文件,并使用ps命令验证隐藏效果,展示了该技术的实际操作。然而,隐藏后的进程连接仍然会在netstat命令输出中出现。文章进一步分析了ps和netstat命令的工作原理,以及/proc目录下相关文件的作用,揭示了该隐藏技术背后的机制和可用于取证的痕迹,例如异常的文件系统挂载和空的进程目录。

阅读更多
13
未分类