我在学习波动性,这个房间在tryhackme中,他们使用psxview来查找隐藏的进程。任务是,
恶意软件试图隐藏自身及其相关进程的情况相当常见。话虽如此,我们可以通过命令查看有意隐藏的进程
psxview。哪个进程只列出了一个“False”?
输出结果为:
$volatility -f cridex.vmem --profile WinXPSP3x86 psxview
Volatility Foundation Volatility Framework 2.6
Offset(P) Name PID pslist psscan thrdproc pspcid csrss session deskthrd ExitTime
---------- -------------------- ------ ------ ------ -------- ------ ----- ------- -------- --------
0x02498700 winlogon.exe 608 True True True True True True True
0x02511360 svchost.exe 824 True True True True True True True
0x022e8da0 alg.exe 788 True True True True True True True
0x020b17b8 spoolsv.exe 1512 True True True True True True True
0x0202ab28 services.exe 652 True True True True True True True
0x02495650 svchost.exe 1220 True True True True True True True
0x0207bda0 reader_sl.exe 1640 True True True True True True True
0x025001d0 svchost.exe 1004 True True True True True True True
0x02029ab8 svchost.exe 908 True True True True True True True
0x023fcda0 wuauclt.exe 1136 True True True True True True True
0x0225bda0 wuauclt.exe 1588 True True True True True True True
0x0202a3b8 lsass.exe 664 True True True True True True True
0x023dea70 explorer.exe 1484 True True True True True True True
0x023dfda0 svchost.exe 1056 True True True True True True True
0x024f1020 smss.exe 368 True True True True False False False
0x025c89c8 System 4 True True True True False False False
0x024a0598 csrss.exe 584 True True True True False True True
这个作业的答案是 csrss.exe,正如您所见,它是唯一一个其中包含“False”的进程。
一个进程究竟如何被视为隐藏?当其属性中只有一个“False”时是否被视为隐藏?
同时,此来源告诉
嗯,除了我们的情况;)似乎没有进程被隐藏,如果是这样,你会在前两列(pslist 和 psscan)看到“False”。
那么,哪一个是正确的?分析 psxview 的输出时,什么时候进程被视为隐藏?