Сокрытие процесса
Обычно, когда взломщик захватывает машину, он запускает на ней другие утилиты, чтобы упрочить свое положение в сети. Одной из этих утилит может быть sniffer (см. лекцию "Анализаторы сетевых потоков"), используемый для перехвата паролей, передаваемых по сети. Поскольку sniffer должен оставаться в памяти еще долгое время после того, как взломщик покинул машину, здравомыслящий системный администратор может легко обнаружить его, набрав команду ps.
С установленной программой Knark можно скрыть любой процесс, послав сигнал с номером 31.
victim# kill -31 <Process ID>
Когда взломщик решит, что ему необходимо вернуть процесс в список процессов, он посылает сигнал номер 32.
victim# kill -32 <Process ID>
