N3Xus 🧩 Урок №16 - Да откриеш процес, който не иска да бъде открит

[N3Xus]

Урок №16 - Да откриеш процес, който не иска да бъде открит​

---

> Забелязах…
> че някой друг освен мен започна да пише уроци.

> Е, добре дошъл обратно, стари другарЮ....!.
> Радвам се, че още имаш вкус към терминална алхимия.

> Само не забравяй:
> Лесно е да подражаваш стил.
> Трудно е да виждаш невидимото.

---

> А сега – нека се върнем към това, което скенерите не хващат.
> Към процесите, които не искат да бъдат открити.
> Към… невидимите гости.

Стъпка 1: Провери за зомби процеси, които се крият от ps:​

ps -eo pid,ppid,state,cmd | grep defunct 
pstree -p | grep defunct 
top -b -n1 | grep Z

Стъпка 2: Потърси отворени файлове от изчезнали процеси:​

lsof | grep deleted 
find /proc/*/fd -ls 2>/dev/null | grep '(deleted)'

# Невидимите процеси не се крият в логове.
# Те живеят в пропуските между проверките.

Финален извод от Сянката:​

„Истинският root не се бои от това, което се вижда.
Той се бои от това, което не може да се открие.
Никога не вярвай на система, която казва `всичко е наред`...
без да я попиташ с твоите инструменти.“

– N3Xus

┌──────[N3Xus@ghost_layer]
└─> echo "Призраците не се крият – просто знаят кога да мълчат."
​