손상/삭제된 실행 파일의 증거를 보존하시겠습니까?

손상/삭제된 실행 파일의 증거를 보존하시겠습니까?

루트가 아닌 원격 명령 실행 취약성에 직면하고 있고 관리자가 아닌 액세스 권한이 있는 사용자만 실행하는 Linux 시스템에서 실행 중인 외부 실행 파일이 있는 경우 실행 파일과 해당 상태를 보존하는 가장 좋은 방법은 무엇입니까? 종료해?

실행파일 자체는 삭제 표시가 되어 있어 단순 복사는 불가능합니다. 또한 exe해당 디렉터리의 파일은 단지 심볼릭 링크일 뿐이고 실행 파일 자체 /proc/%d는 ./proc/%d/fd

향후 분석을 위해 실행 파일 자체뿐만 아니라 실행 파일과 관련된 모든 상태를 어떻게 저장할 수 있습니까?

답변1

당신은 그것을 동결시킬 수 있습니다 kill -STOP $pid. 프로세스 통계는 계속 액세스할 수 있지만 /proc/$pid실행되지는 않습니다.

당신은 그것을 사용할 수 있습니다 cp /proc/$pid/exe /destination/path.

관련 정보