#16 2018-07-10 22:12:25
- renyuneyun
- 会员
- 所在地: 地球
- 注册时间: 2011-09-30
- 帖子: 132
- 个人网站
Re: 如何阻止程序(不受控?)自啓動?尤pasystray和solaar
依云 说:
因为 1 号进程是收养者呀。
仙子別這樣 
我知道1號是收養者,那句是說爲什麼是1號啓動的它們……(當時不知道execsnoop的PPID不靠譜時的想法。)
所以怎麼檢查它的啓動者是誰(現在我猜是已經死掉的SDDM)?
用sysdig 和/或 process event connector麼?沒查到怎麼用。。。有教程推薦麼?
知識很重要,而相當的運用能力更重要。
离线
#17 2018-07-10 22:29:21
- 依云
- 会员
- 所在地: a.k.a. 百合仙子
- 注册时间: 2011-08-21
- 帖子: 8,919
- 个人网站
Re: 如何阻止程序(不受控?)自啓動?尤pasystray和solaar
sysdig 和 process event connector 都能记录 fork 操作。所以你顺着 exec 调用往回找,找到 fork 它的进程就是了。然后你还可以一直顺着找下去。
或者你把 execsnoop 改一下记录 fork 也行。(实际上是 clone。)
离线