listps

listps項目是一個小型的Linux程序，以顯示所有正在運行的進程，包括隱藏的。它僅適用於的/ proc文件系統。
在妥協與各種rootkit的，例如像系統suckit 1.3E，listps就能明確列出正在運行隱藏的進程。
它通過明確查詢/ proc文件系統的進程ID範圍為1至33000做到這一點。
換出的過程打印paranthesis。
示例輸出
在下面我在Linux中安裝suckit 1.3E會話，隱藏兩個進程（的crond和SMBD）使用listps一一列舉。
首先，讓我們在主機上安裝suckit 1.3E：
[根@戰神listps]＃-a的uname
Linux的ares.sublevel3.org 2.4.20-20.7custom＃1 SMP週二9月23日14時三十○分50秒CEST 2003 i686的未知
[根@戰神listps]＃./sksu
我愛你寶貝
展會開始測試模式0
RK_Init：IDT = 0xc0328000，SCT [] = 0xc02c68e0
kma_hint = 00000000
用kmalloc（）= 0xc012fcb0，GFP = 0x1f0
Z_Init：分配內核代碼的內存...的kinit（0xd04d9c64）SCT 0xc02c68e0
SCTP 0xbfffcde0 oldsys 0xc010cf40
完成後，11635個字節，基地= 0xd04d8000
現在，讓我們隱藏的crond和SMBD（PID的577和613）：
[根@戰神listps]＃./sksu
我愛你寶貝
檢測版本：1.3E
使用方法：
./sksu [參數]
筆 - 測試安裝目錄目標
的F - 力安裝目錄
ü - 卸載
我 - 讓看不見的PID
v - 輸出使PID可見
F [0/1] - 切換隱藏文件
P [0/1] - 切換PID隱藏
[根@戰神listps]＃./sksu我577
我愛你寶貝
檢測版本：1.3E
PID 577現在被隱藏！
[根@戰神listps]＃./sksu我613
我愛你寶貝
檢測版本：1.3E
PID 613現在被隱藏！
讓我們來看看，如果PS（1）發現它們：
[根@戰神listps]＃PS auxwww | egrep的'的crond | SMBD“
根2160 0.0 0.1 1516 552點/ 1個S 15時24分0時00分的egrep的crond | SMBD
[根@戰神listps]＃
嘗試運行listps：
[根@戰神listps]＃listps -d
  PID指令
  577的crond（隱藏）
  613 SMBD（隱藏）
[根@戰神listps]＃
最後，讓我們來卸載suckit：
[根@戰神listps]＃./sksu v 577
我愛你寶貝
檢測版本：1.3E
PID 577是可見的吧！
[根@戰神listps]＃./sksu v 613
我愛你寶貝
檢測版本：1.3E
PID 613是可見的吧！
[根@戰神listps]＃./sksuü
我愛你寶貝
檢測版本：1.3E
Suckit卸載sucesfully！
[根@戰神listps]＃listps -d
  PID指令
[根@戰神listps]＃

什麼是此版本的新：

• 在這個版本的變化parse_args使用getopts的（簡稱今），讀取和移動所有的統計數據，以一個結構，使得-l選項打印幾個從結構中的值，並使得-p選項列表只是一個單一的PID。