listps

listps项目是一个小型的Linux程序，以显示所有正在运行的进程，包括隐藏的。它仅适用于的/ proc文件系统。
在妥协与各种rootkit的，例如像系统suckit 1.3E，listps就能明确列出正在运行隐藏的进程。
它通过明确查询/ proc文件系统的进程ID范围为1至33000做到这一点。
换出的过程打印paranthesis。
示例输出
在下面我在Linux中安装suckit 1.3E会话，隐藏两个进程（的crond和SMBD）使用listps一一列举。
首先，让我们在主机上安装suckit 1.3E：
[根@战神listps]＃-a的uname
Linux的ares.sublevel3.org 2.4.20-20.7custom＃1 SMP周二9月23日14时三十○分50秒CEST 2003 i686的未知
[根@战神listps]＃./sksu
我爱你宝贝
展会开始测试模式0
RK_Init：IDT = 0xc0328000，SCT [] = 0xc02c68e0
kma_hint = 00000000
用kmalloc（）= 0xc012fcb0，GFP = 0x1f0
Z_Init：分配内核代码的内存...的kinit（0xd04d9c64）SCT 0xc02c68e0
SCTP 0xbfffcde0 oldsys 0xc010cf40
完成后，11635个字节，基地= 0xd04d8000
现在，让我们隐藏的crond和SMBD（PID的577和613）：
[根@战神listps]＃./sksu
我爱你宝贝
检测版本：1.3E
使用方法：
./sksu [参数]
笔 - 测试安装目录目标
的F - 力安装目录
ü - 卸载
我 - 让看不见的PID
v - 输出使PID可见
F [0/1] - 切换隐藏文件
P [0/1] - 切换PID隐藏
[根@战神listps]＃./sksu我577
我爱你宝贝
检测版本：1.3E
PID 577现在被隐藏！
[根@战神listps]＃./sksu我613
我爱你宝贝
检测版本：1.3E
PID 613现在被隐藏！
让我们来看看，如果PS（1）发现它们：
[根@战神listps]＃PS auxwww | egrep的'的crond | SMBD“
根2160 0.0 0.1 1516 552点/ 1个S 15:24 0:00的egrep的crond | SMBD
[根@战神listps]＃
尝试运行listps：
[根@战神listps]＃listps -d
  PID指令
  577的crond（隐藏）
  613 SMBD（隐藏）
[根@战神listps]＃
最后，让我们来卸载suckit：
[根@战神listps]＃./sksu v 577
我爱你宝贝
检测版本：1.3E
PID 577是可见的吧！
[根@战神listps]＃./sksu v 613
我爱你宝贝
检测版本：1.3E
PID 613是可见的吧！
[根@战神listps]＃./sksuü
我爱你宝贝
检测版本：1.3E
Suckit卸载sucesfully！
[根@战神listps]＃listps -d
  PID指令
[根@战神listps]＃

什么是此版本的新：

• 在这个版本的变化parse_args使用getopts的（简称今），读取和移动所有的统计数据，以一个结构，使得-l选项打印几个从结构中的值，并使得-p选项列表只是一个单一的PID。