Tente usar a ferramenta
command -v ps
ou
type ps
eles informarão o caminho absoluto e se ele é uma função ou um pseudônimo incorporado.
Aqui está o cenário: Eu não tenho nenhum serviço ou programa anterior, tripwire, etc., no meu computador para me informar sobre arquivos ou serviços que foram alterados. A integridade de um serviço, digamos ps , foi alterada para que, na verdade, fosse executado o comando netcat . Eu explicarei de outra maneira. Digamos que netcat estava no meu sistema, mas ele foi alterado para que, quando você inserir ps , execute netcat . Ele removeu completamente o serviço ps real e o substituiu por netcat , mas ainda é chamado / executado com ps . Agora a pergunta é a seguinte: Como eu descobriria que o netcat agora é chamado por ps ?