シナリオは次のとおりです。マイコンピュータには、どのファイルやサービスが変更されたかを知らせる以前のサービスやプログラム、トリップワイヤなどはありません。たとえば、サービスの整合性がps実際にコマンドを実行するように変更されましたnetcat。別の方法で説明します。私のシステムでは、と入力すると実行されるnetcatように変更されました。実際のサービスを完全に削除して置き換えますが、依然として呼び出し/実行に使用されます。今質問は:netcatが現在呼び出されているかどうかをどうやって知ることができますか?psnetcatpsnetcatpsps
答え1
このツールを試してください
command -v ps
または
type ps
絶対パスとそれが組み込みのシェル関数かエイリアスかを教えてくれます。