https://blog.qife122.com/tags/%E6%97%B6%E9%97%B4%E7%BA%BF%E7%AF%A1%E6%94%B9/ Recent content in 时间线篡改 on 办公AI智能小助手 Hugo zh-cn qife Wed, 10 Dec 2025 08:28:35 +0800 https://blog.qife122.com/p/%E5%B9%BD%E7%81%B5%E5%9C%A8/proclinux%E8%BF%9B%E7%A8%8B%E9%9A%90%E8%97%8F%E4%B8%8E%E6%97%B6%E9%97%B4%E7%BA%BF%E7%AF%A1%E6%94%B9%E6%8A%80%E6%9C%AF%E5%89%96%E6%9E%90/ Wed, 10 Dec 2025 08:28:35 +0800 https://blog.qife122.com/p/%E5%B9%BD%E7%81%B5%E5%9C%A8/proclinux%E8%BF%9B%E7%A8%8B%E9%9A%90%E8%97%8F%E4%B8%8E%E6%97%B6%E9%97%B4%E7%BA%BF%E7%AF%A1%E6%94%B9%E6%8A%80%E6%9C%AF%E5%89%96%E6%9E%90/ <h2 id="引言">引言</h2> <p>在我们之前的博客《藏在眼皮底下：Linux中<code>/proc</code>文件系统操纵技术与防御》中，我们探讨了如何将恶意进程从取证审查工具中隐藏的技术。取证分析师通常依赖Linux虚拟文件系统<code>/proc</code>来枚举进程、重建时间线并将活动归因于特定的可执行文件。诸如<code>ps</code>、<code>top</code>和各种审查脚本之类的工具从<code>/proc/&lt;pid&gt;/</code>下的文件中提取进程元数据，包括<code>cmdline</code>和<code>stat</code>。因此，这些文件的完整性对许多事件响应工作流程至关重要。</p> https://blog.qife122.com/p/proc%E4%B8%AD%E7%9A%84%E5%B9%BD%E7%81%B5linux%E8%BF%9B%E7%A8%8B%E9%9A%90%E8%97%8F%E4%B8%8E%E6%97%B6%E9%97%B4%E7%BA%BF%E7%AF%A1%E6%94%B9%E6%8A%80%E6%9C%AF%E5%89%96%E6%9E%90/ Sun, 07 Dec 2025 11:57:32 +0800 https://blog.qife122.com/p/proc%E4%B8%AD%E7%9A%84%E5%B9%BD%E7%81%B5linux%E8%BF%9B%E7%A8%8B%E9%9A%90%E8%97%8F%E4%B8%8E%E6%97%B6%E9%97%B4%E7%BA%BF%E7%AF%A1%E6%94%B9%E6%8A%80%E6%9C%AF%E5%89%96%E6%9E%90/ <h2 id="引言">引言</h2> <p>在我们之前的博客文章《Hiding in plain sight: Techniques and defenses against <code>/proc</code> filesystem manipulation in Linux》中，我们探讨了如何从取证分析工具中隐藏恶意进程的技术。取证分析师经常依赖Linux虚拟文件系统<code>/proc</code>来枚举进程、重建时间线并将活动归因于特定可执行文件。诸如<code>ps</code>、<code>top</code>和各种取证脚本等工具从<code>/proc/&lt;pid&gt;/</code>目录下的文件（包括<code>cmdline</code>和<code>stat</code>）中提取进程元数据。因此，这些文件的完整性对许多事件响应工作流程至关重要。</p>