cns*_*nst 4 linux security process executable
如果您面临非 root 远程命令执行漏洞,并且在您的 Linux 系统上运行一个外部可执行文件,该可执行文件来自仅具有非管理员权限的用户,那么保留可执行文件及其状态并终止的最佳方法是什么?访问?
可执行文件本身被标记为已删除,因此无法简单地复制它。此外,由于exe相应/proc/%d目录中的文件似乎只是一个符号链接,而可执行文件本身并不是在/proc/%d/fd.
您如何保存与可执行文件相关的所有状态以供将来分析以及可执行文件本身?
你可以用 冻结它kill -STOP $pid。进程统计信息仍可通过 访问/proc/$pid,但不会执行。
您可以使用cp /proc/$pid/exe /destination/path.