Linux隐藏进程检测：从入门到实操的完整排查指南

有些恶意软件或 Rootkit 会通过 hook 系统调用隐藏进程，让 ps 和 top 都看不到它们。
对于服务器运维或安全入门用户来说，学会手动检测隐藏进程是基础但重要的一步。
本文教你用几种简单方法找出这些“隐形”进程，全程在终端操作，不需要额外图形界面。

为什么进程会“隐身”？

正常进程启动后会在 /proc 目录下留下一个以 PID 命名的子目录。
如果攻击者替换了 ps 命令或者 hook 了内核的 readdir 函数，那么 ps 读取到的列表就会不完整，但 /proc 下的实际目录仍然存在。
这就是检测隐藏进程的突破口。

准备工作：确认系统环境

打开终端，确保你有 sudo 权限或 root 用户。
确认使用的 ps 和 ls 命令来自标准 bin 路径，避免被替换后的假命令误导：

which ps
which ls

正常情况下输出 /bin/ps 和 /bin/ls。
如果路径异常（比如在 /usr/local/bin 下），先用 rpm -V（CentOS）或 dpkg --verify（Debian）验证文件完整性。

方法一：对比 ps 列表与 /proc 目录

最基础的检测思路：直接列出所有 /proc 下数字命名的目录，跟 ps 输出的 PID 列表做差集。

1. 获取当前 ps 能看到的 PID 列表：

ps -e | awk '{print $1}' | grep -E '^[0-9]+$' > /tmp/ps_pids.txt

1. 获取 /proc 下的所有 PID 目录：

ls -1 /proc | grep -E '^[0-9]+$' | sort -n > /tmp/proc_pids.txt

1. 找出 /proc 有但 ps 没有的 PID：

diff /tmp/ps_pids.txt /tmp/proc_pids.txt | grep '>' | awk '{print $2}'

如果输出任何数字，这些 PID 就是隐藏进程。
用 ls -l /proc/<隐藏PID>/exe 可以查看其可执行文件路径，但注意可能无法直接访问。

方法二：使用 unhide 工具自动检测

unhide 是专门检测隐藏进程的开源工具，它通过多种方法对比 /proc、sysfs 等数据源，比手动对比更全面。

在 CentOS / RHEL 上安装

sudo yum install epel-release
sudo yum install unhide

在 Ubuntu / Debian 上安装

sudo apt update
sudo apt install unhide

运行检测

sudo unhide proc

输出中会列出隐藏进程的 PID 和匹配的可疑信息。
如果显示 "No hidden processes found" 则表示未发现。

避坑指南

• 不要完全相信系统命令：如果系统已被入侵，ps、ls、lsof 都可能被替换。建议使用干净环境下编译的静态二进制文件（如 busybox）或从 U 盘启动后挂载根分区检查。
• /proc 也可能被伪造：高级 Rootkit 能修改 /proc 的读取结果，此时需要结合内核模块检测或内存取证工具（如 Volatility）。
• 使用 unhide 前更新库：unhide 依赖 libc 函数，如果 libc 被 hook 也可能失效。
• 检测后不要直接 kill 进程：先记录证据（进程文件、网络连接等），再隔离服务器，避免破坏取证。

高频问题

Q：unhide 报错 "cannot open /proc" 怎么办？
A：确保以 root 身份运行（加 sudo）。如果 /proc 未挂载，执行 sudo mount -t proc none /proc。

Q：检测出隐藏进程后怎么确认是不是恶意？
A：查看 /proc//cmdline 内容，对比系统正常进程名；检查该进程的打开文件（/proc//fd）和网络连接（/proc//net/tcp）。如果可疑，使用 lsof -p 进一步分析（确保 lsof 未被替换）。

Q：能否通过防火墙或杀毒软件自动阻止隐藏进程？
A：隐藏进程多与 Rootkit 绑定，建议结合 rkhunter、chkrootkit 等工具定期扫描。同时开启 SELinux 或 AppArmor 增加防护层。

如果你正在排查 Linux 系统安全性，建议先手动对比 /proc 和 ps，再借助 unhide 做补充扫描。
遇到报错时，优先确认命令路径是否被篡改。
掌握这些基础检测方法后，你就能更早发现异常，避免数据泄露风险。