Nascondere processi
Nascondere processi
Non ho idea se sia possibile ma... si può nascondere un processo di modo che non possa essere listabile dai task manager più comuni? (top, htop, ps, ecc.)
Io non sono Bagheera né Akela, io non frequento la Rupe.
Io sono Kaa: faccio ballare le scimmie alle Tane Fredde.
Io sono Kaa: faccio ballare le scimmie alle Tane Fredde.
- tokijin
- Moderatore Globale
- Messaggi: 4610
- Iscrizione: mercoledì 3 giugno 2009, 23:10
- Desktop: plasma 5.27.4
- Distribuzione: Kubuntu 23.04
- Località: Abruzzo
Re: Nascondere processi
Ciao,
non ho testato ma vedi se questo ti aiuta:
https://www.cyberciti.biz/faq/linux-hid ... her-users/
Ciao
non ho testato ma vedi se questo ti aiuta:
https://www.cyberciti.biz/faq/linux-hid ... her-users/
Ciao
Sei abbruzzese se dopo che ti sei strafogato un chilogrammo di pasta, hai il coraggio di dire alla cuoca "cacc ch'è cott" - Se entra un piccione in casa..chiudi le finestre!
Ubuntu User #28657 - Il mio vecchio hardware - Tag Codice
Ubuntu User #28657 - Il mio vecchio hardware - Tag Codice
Re: Nascondere processi
Ummmh... sembra che tale metodo richieda privilegi di root...tokijin ha scritto: ↑lunedì 27 giugno 2022, 14:17Ciao,
non ho testato ma vedi se questo ti aiuta:
https://www.cyberciti.biz/faq/linux-hid ... her-users/
Ciao
In realtà la richiesta sottesa, che non ho accennato e mi scuso per questo, era quello di capire se ci fossero vulnerabilità e/o malware che potessero mascherare in tal modo i propri processi...
Leggerò per bene quanto hai linkato nel frattempo. Grazie
Io non sono Bagheera né Akela, io non frequento la Rupe.
Io sono Kaa: faccio ballare le scimmie alle Tane Fredde.
Io sono Kaa: faccio ballare le scimmie alle Tane Fredde.
- Clover
- Scoppiettante Seguace
- Messaggi: 298
- Iscrizione: giovedì 30 agosto 2012, 14:04
- Desktop: KDE
- Distribuzione: Kubuntu x86_64
Re: Nascondere processi
Nascondere il processo stesso no, ma ci sono tecniche per mascherare codice malevolo in processi validi.
Ti faccio un esempio banale, supponi uno script python valido che si chiama "wallpaper.py" che legge ogni minuto (o al successivo riavvio) un pezzo di codice... se un attaccante riesce a modificare quel pezzo di codice che viene letto ogni minuto con codice malevolo, lato taskmanager il processo si chiamerà sempre "wallpaper.py" senza che l'utente se ne accorga.
Re: Nascondere processi
Ok... ti porto un esempio banale che ho osservato.Clover ha scritto: ↑lunedì 27 giugno 2022, 16:55Nascondere il processo stesso no, ma ci sono tecniche per mascherare codice malevolo in processi validi.
Ti faccio un esempio banale, supponi uno script python valido che si chiama "wallpaper.py" che legge ogni minuto (o al successivo riavvio) un pezzo di codice... se un attaccante riesce a modificare quel pezzo di codice che viene letto ogni minuto con codice malevolo, lato taskmanager il processo si chiamerà sempre "wallpaper.py" senza che l'utente se ne accorga.
Ieri sera notavo che il led del mio RaspberryPI continuava a blinkare in modo sostenuto, come ad indicare che stesse facendo qualcosa: mi collego, butto un occhio su htop e mi é sembrato che il device fosse completamente in idle (nessun carico di rilievo su storage, CPU, RAM; nessuno mio script schedulato su crontab; temperature dei componenti in linea come sempre). In cima alla lista dei processi, ordinati per carico su CPU, c'era pulseaudio con qualche punto percentuale (ma ero connesso su terminale via ssh).
Non sono riuscito a trovare nulla che potesse giustificare quel blink continuo del led. Per questo motivo mi sono posto tale domanda.
Edit: ovviamente il led a cui mi riferisco è quello di sistema, no alimentazione né scheda di rete
Io non sono Bagheera né Akela, io non frequento la Rupe.
Io sono Kaa: faccio ballare le scimmie alle Tane Fredde.
Io sono Kaa: faccio ballare le scimmie alle Tane Fredde.
- Clover
- Scoppiettante Seguace
- Messaggi: 298
- Iscrizione: giovedì 30 agosto 2012, 14:04
- Desktop: KDE
- Distribuzione: Kubuntu x86_64
Re: Nascondere processi
Tieni conto che su alcune schede di rete la velocità con cui lampeggiano i led non indica per forza la quantità di traffico in corso... considera anche che potrebbe non essere il dispositivo stesso a generare il traffico ma potrebbe essere roba proveniente dal broadcast, multicast o traffico residuo destinato al dispositivo.
L'unico modo per verificarlo e fare un tcpdump e vedere cosa salta fuori.
edit
ok, letto ora che ti riferivi al led generico (forse il disco dati), in questo caso bisognerebbe vedere che dati sono in transito sui canali sata/nvme/ide ma al momento non mi viene in mente nessun modo per farlo, se mi viene in mente mi faccio vivo.
L'unico modo per verificarlo e fare un tcpdump e vedere cosa salta fuori.
edit
ok, letto ora che ti riferivi al led generico (forse il disco dati), in questo caso bisognerebbe vedere che dati sono in transito sui canali sata/nvme/ide ma al momento non mi viene in mente nessun modo per farlo, se mi viene in mente mi faccio vivo.
Chi c’è in linea
Visualizzano questa sezione: Lucio C e 29 ospiti