Aqui está o cenário: não tenho nenhum serviço ou programa anterior, tripwire, etc., em meu computador para me informar sobre arquivos ou serviços que foram alterados. A integridade de um serviço, digamos ps, foi alterada para que realmente executasse o netcatcomando. Vou explicar de outra forma. Say netcatestava no meu sistema, mas foi alterado para que, quando você inserir ps, ele seja executado netcat. Ele removeu completamente o psserviço real e o substituiu por netcat, mas ainda é chamado/executado com ps. Agora a questão é esta: como eu descobriria que o netcat agora é chamado por ps?
Tente usar a ferramenta
ou
eles lhe dirão o caminho absoluto e se é uma função ou alias do shell interno.