1

在一个网络安全项目中,我和我的队友遇到了以下潜在的安全风险:

恶意软件进程会生成一个子进程,而子进程又会生成一个孙子进程。孙子被授权访问,但我们想通过父链发现源进程。在这些进程被创建和安全检查之间,恶意软件进程杀死了它的子进程,而孙子进程现在避开了它的父链并直接连接到 init。

我想在安全检查时检测到这种行为并否认这种情况。我正在考虑记录已创建进程的所有 ppid,并检测并因此拒绝其 ppid 从创建更改为安全检查的所有进程。

这可行吗?如果没有,有什么关于检测流程采用的建议吗?

4

0 回答 0