您尚未登录。

#16 2018-07-10 22:12:25

renyuneyun
会员
所在地: 河南省新鄉市
注册时间: 2011-09-30
帖子: 123
个人网站

Re: 如何阻止程序(不受控?)自啓動?尤pasystray和solaar

依云 说:

因为 1 号进程是收养者呀。

仙子別這樣 wink
我知道1號是收養者,那句是說爲什麼是1號啓動的它們……(當時不知道execsnoop的PPID不靠譜時的想法。)

所以怎麼檢查它的啓動者是誰(現在我猜是已經死掉的SDDM)?
用sysdig 和/或 process event connector麼?沒查到怎麼用。。。有教程推薦麼?


知識很重要,而相當的運用能力更重要。

离线

#17 2018-07-10 22:29:21

依云
a.k.a. 百合仙子
所在地: 一个等待妹纸出现的地方
注册时间: 2011-08-21
帖子: 4,739
个人网站

Re: 如何阻止程序(不受控?)自啓動?尤pasystray和solaar

sysdig 和 process event connector 都能记录 fork 操作。所以你顺着 exec 调用往回找,找到 fork 它的进程就是了。然后你还可以一直顺着找下去。
或者你把 execsnoop 改一下记录 fork 也行。(实际上是 clone。)

离线

页脚