思路:ps -eo pid 可以查看系统进程的PID,如果此时的PID不存在/proc目录下,就说明此进程很有可能修改,系统很有可能被他人入侵
- /proc
进程号都会在 /proc 目录下映射为目录,Linux操作系统中只有目录与文件
#!/bin/bash
# 使用ps命令列出所有进程的PID,去掉第一行(标题行)和当前进程,将结果传递给while循环
ps -eo pid | sed '1d' | grep -v $$ | while read pid
do
# 判断/proc目录下是否存在以进程PID命名的目录
if ! [ -d "/proc/$pid" ]
then
# 如果不存在,则输出警告信息
echo "系统中并没有pid为$pid的目录,需要检查"
fi
done