场景如下:我的计算机上没有任何先前的服务或程序、tripwire 等来告诉我已更改的文件或服务。例如,服务的完整性ps已更改,以便它实际执行netcat命令。我会用另一种方式解释它。 Saynetcat在我的系统上,但它已更改,以便当您输入时ps,它会执行netcat。它完全删除了实际的ps服务并将其替换为netcat,但仍然使用 来调用/执行ps。现在的问题是:我如何知道 netcat 现在被调用ps?
答案1
尝试使用该工具
command -v ps
或者
type ps
他们会告诉您绝对路径以及它是否是内置 shell 函数或别名。