sysinternals suiteWindowsには、ツールと呼ばれるプログラムの一部としてダウンロードできるプログラムがあります。このプログラムはProcess Explorer 64(ProcExp64とも呼ばれます)と呼ばれます。このプログラムは、コンピュータ上の潜在的なマルウェアを特定するのに役立ちます。マルウェアの一般的な動作は、一般的なプログラムおよび/または人間の目が認識/認識できるよりもはるかに速くプロセスを開始および終了することです。これはWindowsタスクマネージャを使用するときに問題になります。これは、マルウェアが迅速に実行され、サブプロセスを開始し、別のプロセスを挿入してから、1秒以内に(おそらく200ミリ秒以内に)そのサブプロセスを終了できるからです。 ProcExp64Difference Highlight Durationには、終了したプロセスを指定された色で強調表示し、終了した後もしばらくの間プロセスリストに保持する機能があります。実際、ユーザーは「新しいプロセスにロール」を指定することもできます。私はPIDlinuxでsort by forを使用しましたhtop。update time設定を見ましたが、htop拡大した場合は、リリースを完全に見逃した可能性があります。
Linuxで同様の問題が見つかりましたが、解決策がわかりません。この場合、マルウェアを観察するのではなく、急速に開始および終了する他の非悪質なプロセスを観察したいと思います。たとえば、コマンドを入力したときにps aux | grep ld-linux出力が出ましたが、見てみると、実行可能ファイルが終了し、別のプロセスではなくスペースにのみ存在したと信じていたhtopため、まだ実行中のプロセスはありませんでした。間違っているかもしれませんが、これが何が起こっているのかを理解する方法です。これは、実際のロードプロセス中にインスタンス自体をロードすると仮定しているためです(再び、これは単なる推測です)。プロセステーブル/リスト内のローダープロセスの存在を遅らせ、他の方法で強調して目立つようにする他のツールを使用してこれを観察する方法はありますか?ld-linuxshared object (.so)ld-linuxpshtopld-linux