process - 如何检测 Linux 中的隐藏进程

Question

我在某处读到rootkits通过删除它的链接来隐藏一个进程。task list首先我的问题是它何时从任务列表中删除，如何在内核3.*中安排它？事实上，我想通过比较类似的running进程task list和进程来检测隐藏进程runqueue。

Answer 1

You can use unhide

apt-get install unhide

it compare running processes by various methods for example :

 getpriority() 
 getpgid() 
 getsid() 
 sched_getaffinity() 
 sched_getparam() 
 sched_getscheduler() 
 sched_rr_get_interval()

...