如果您面临非 root 远程命令执行漏洞,并且 Linux 系统上有一个仅具有非管理员权限的用户正在运行的外部可执行文件,那么保留可执行文件及其状态并终止的最佳方法是什么访问权限?
可执行文件本身被标记为已删除,因此不可能简单地复制它。此外,由于看起来exe相应/proc/%d目录中的文件只是一个符号链接,并且可执行文件本身不是在 中打开的文件之一/proc/%d/fd,因此即使保存可执行文件本身也可能有点棘手。
如何保存与可执行文件关联的所有状态以及可执行文件本身以供将来分析?
答案1
你可以用 冷冻它kill -STOP $pid。进程统计信息仍可通过 访问/proc/$pid,但不会执行。
您可以使用cp /proc/$pid/exe /destination/path.