【----------------------------------------网络安全应急取证技术的学习笔记--------------------------------------】
进程(Process) 是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。
面向程序设计的计算机结构中,进程是线程的容器。程序是对指令、数据及其组织形式的描述,进程是程序的实体。
查看进程能发现被入侵的机器的异常。
有一些程序会隐藏自身,或附加到一个正常的进程里面以达到隐藏自身的目的,用Windows任务管理器是看不见的。
进程分析工具:火绒剑
在进程模块能看到目前操作系统的所以进程,并可以看到该进程调用的模块列表。通过检查其中的可疑进程,或者一个正常进程调用了一个可以模块,可以看出一个进程是否被恶意代码附加了。
Linux进程分析命令——ps
ps命令 向用户报告当前系统的进程状况。
【常用参数】 (1)-a:显示所以终端机下执行的程序,除了阶段作业领导者外
(2)-A:显示所有程序