Rootkit隐藏进程和端口检测(2)
发布时间:2019-03-28 11:18 所属栏目:20 来源:zhouqiao
导读:1. tcp隐藏端口检测 从1到65535遍历端口 创建一个基于tcp协议SOCK_STREAM的socket 通过bind返回值和错误码探测端口状态 如果被占用,通过listen 错误码是EADDRINUSE确定端口占用 通过ss或netstat命令过滤tcp协议,
1. tcp隐藏端口检测
2. udp隐藏端口检测 相比tcp, udp使用SOCK_DGRAM的socket, 缺少listen这步,其余检测步骤类似
四、结论 本文提供的通过应用层方式检测rootkit中最常见的隐藏进程和端口,风险性小,可无缝集成到主机安全agent中。 【编辑推荐】
点赞 0 (编辑:ASP站长网) |
相关内容
网友评论
推荐文章
热点阅读