sysinternals suiteWindows에는 도구라는 프로그램의 일부로 다운로드할 수 있는 프로그램이 있습니다 . 이 프로그램은 Process Explorer 64(ProcExp64라고도 함)라고 합니다. 이 프로그램은 컴퓨터에서 잠재적인 맬웨어를 식별하는 데 유용합니다. 맬웨어의 일반적인 동작은 일반적인 프로그램 및/또는 사람의 눈이 인식/알 수 있는 것보다 훨씬 빠르게 프로세스를 시작하고 종료하는 것입니다. 이는 Windows 작업 관리자를 사용할 때 문제가 됩니다. 맬웨어가 신속하게 실행되어 하위 프로세스를 시작하고 다른 프로세스를 삽입한 다음 1초 내에(아마도 200밀리초 내에) 해당 하위 프로세스를 종료할 수 있기 때문입니다. ProcExp64 Difference Highlight Duration에는 종료된 프로세스를 지정된 색상으로 강조 표시하고 종료된 후에도 잠시 동안 프로세스 목록에 유지하는 기능이 있습니다 . 실제로 사용자는 "새 프로세스로 롤"을 지정할 수도 있습니다. 저는 PIDlinux에서 sort by for를 사용했습니다 htop. update time설정을 봤지만 htop확대했다면 릴리스를 완전히 놓쳤을 수도 있습니다.
Linux에서 비슷한 문제를 발견했지만 해결 방법을 모르겠습니다. 이 경우 맬웨어를 관찰하려는 것이 아니라 빠르게 시작되고 종료되는 기타 비악성 프로세스를 관찰하려는 것입니다. 예를 들어, 명령을 입력했을 때 ps aux | grep ld-linux출력이 나왔지만, 살펴보니 실행 파일이 종료되었고 별도의 프로세스가 아닌 공간에만 존재했다고 htop믿기 때문에 아직 실행 중인 프로세스가 없었습니다 . 틀렸을 수도 있지만 이것이 무슨 일이 일어나고 있는지 이해하는 방법입니다.) 이것이 사실이라고 의심되는 한 가지 이유는 위 명령을 실행할 때마다 PID가 계속 증가한다는 것입니다. 이는 실제 로딩 프로세스 중에 인스턴스 자체를 로딩 한다고 가정하기 때문입니다(다시 말하지만 이것은 단지 추측일 뿐입니다). 프로세스 테이블/목록에서 로더 프로세스의 존재를 지연시키고 다른 방법으로 강조하여 눈에 띄게 만드는 다른 도구를 사용하여 이를 관찰할 수 있는 방법이 있습니까 ?ld-linuxshared object (.so)ld-linuxpshtopld-linux