零、proc目錄簡介
<strong>proc目錄是虛擬文件系統(VFS)的一種實現,保存了進程信息(pid目錄)和一些系統信息。</strong>ui
1、系統的信息
一、cpuinfo和meminfo兩個文件
<strong>查看CPU和內存相關信息</strong> 
spa
二、kmsg文件、mounts文件、modules文件
<strong>分別記錄內核輸出日誌,掛載目錄狀況和內核模塊(lsmod的原理)狀況</strong> 命令行
三、uptime文件、version文件
<strong>存啓動時間信息,和內核版本信息</strong> 日誌
四、net目錄
<strong>存儲協議鏈接狀況,netstat的原理就是查看這裏,固然輸出是格式化了的,與進程號的關聯是遍歷了pid路徑的net路徑下的各個協議文件關聯上的</strong> blog
2、進程pid目錄
<strong>這些pid目錄實際上是動態生成的,每次readdir,getdents時動態生成。ps的原理就是遍歷這些文件夾,因此進程隱藏主要對抗點在這裏。</strong> 進程
一、cmdline文件
<strong>至關於記錄進程命令行以及參數,能夠查看到進程對應的文件及其路徑</strong> 內存
二、syscall文件
<strong>記錄系統調用的位置</strong> get
三、net路徑
<strong>與proc路徑下的一致,記錄相關協議及其鏈接狀況</strong> cmd