Você pode congelá-lo com kill -STOP $pid . As estatísticas do processo permanecerão acessíveis por /proc/$pid , mas não serão executadas.
Você pode obter acesso ao arquivo executável com cp /proc/$pid/exe /destination/path .
Se você se deparar com uma vulnerabilidade de execução de comandos remotos não-raiz e houver um executável externo em execução no sistema Linux de um usuário com privilégios que não sejam de administrador, qual é a melhor maneira de preservar o executável e seu estado e terminar o acesso?
O próprio arquivo executável é marcado como excluído, portanto, não é possível simplesmente fazer uma cópia dele. Além disso, uma vez que parece que o arquivo exe dentro do respectivo diretório /proc/%d é meramente um link simbólico, e o próprio executável não é um dos arquivos abertos em /proc/%d/fd , parece que salvar o próprio arquivo executável pode ser um pouco complicado.
Como você salva todos os estados associados ao executável para análise futura, bem como o próprio executável?
Você pode congelá-lo com kill -STOP $pid . As estatísticas do processo permanecerão acessíveis por /proc/$pid , mas não serão executadas.
Você pode obter acesso ao arquivo executável com cp /proc/$pid/exe /destination/path .
Tags process security executable linux