1、使用netstat查看可疑进程
- 执行`ls -al /proc/$PID/exe`确认可疑进程对应的文件;
- 若文件未被删除,则直接上传文件到Virustotal进行检测,或者计算出文件对应的md5,使用md5去Virustotal进行查询;若文件已被删除,可执行`cat /proc/$PID/exe > /tmp/t.bin`将进程dump到特定目录,再上传文件到Virustotal或者计算dump文件对应的md5到Virustotal进行查询。如果有多款杀毒引擎同时检出,那基本可以判定该进程为恶意进程。
2、 Virustotal进行查询
Virustotal地址: VirusTotal
如果有多款杀毒引擎同时检出,那基本可以判定该进程为恶意进程。