💡 Mục tiêu: Hiểu cách xem, giám sát và điều khiển các tiến trình (process) đang chạy — kỹ năng cần thiết để:
- Tìm service đang lắng nghe port
- Kill process chiếm port hoặc gây crash
- Duy trì shell ổn định
- Phát hiện process khả nghi (reverse shell, backdoor...)
✅ 1. ps — XEM TIẾN TRÌNH ĐANG CHẠY
🔹 ps là gì?
- PS = Process Status
- Dùng để liệt kê các tiến trình đang chạy trên hệ thống.
🔹 Các tùy chọn hay dùng:
💡 Ví dụ thực tế trong pentest:
→ Tìm xem có script Python nào đang chạy — có thể là web server, reverse shell...
→ Tìm netcat — có thể là bind shell hoặc reverse shell.
→ Tìm tiến trình có PID 1234.
✅ 2. top & htop — GIÁM SÁT HỆ THỐNG THEO THỜI GIAN THỰC
🔹 top
- Hiển thị danh sách tiến trình đang chạy, sắp xếp theo mức sử dụng CPU.
- Cập nhật tự động mỗi vài giây.
- Giao diện dòng lệnh — có sẵn trên mọi hệ thống.
→ Gõ top → nhấn q để thoát.
🔹 htop (nâng cao — cần cài đặt)
- Giao diện đẹp hơn, màu sắc, hỗ trợ chuột, dễ dùng.
- Có thể kill process trực tiếp bằng phím F9.
→ Cài đặt nếu chưa có:
→ Gõ htop → dùng phím mũi tên → chọn process → F9 để kill.
💡 Trong pentest:
- Dùng
topđể xem: - Tiến trình nào đang ngốn CPU/RAM → có thể là exploit đang chạy.
- Tiến trình lạ → có thể là backdoor.
- Kiểm tra xem shell của bạn có bị kill không.
✅ 3.
kill— GIẾT TIẾN TRÌNH THEO PID🔹 Cú pháp:
bash→ Gửi tín hiệu
SIGTERM— yêu cầu process tự kết thúc.bash→ Gửi tín hiệu
SIGKILL— buộc process dừng ngay lập tức (không cho phép dọn dẹp).💡 Cách lấy PID:
bash→ Kết quả:
→ PID =
1234→ Kill:
bash✅ 4.
pkill— GIẾT TIẾN TRÌNH THEO TÊN🔹 Cú pháp:
bash→ Không cần biết PID — chỉ cần biết tên.
💡 Ví dụ:
bash→ Giết tất cả tiến trình có tên chứa “apache2”, “python”, “nc”.
⚠️ Cẩn thận:
pkill python→ có thể giết luôn script bạn đang chạy!✅ 5.
pgrep— TÌM PID THEO TÊN🔹 Cú pháp:
bash→ Chỉ in ra PID — không làm gì thêm.
💡 Ví dụ:
bash→ Kết quả:
1234→ đó là PID của sshd.bash→
-f= tìm trong toàn bộ dòng lệnh → hữu ích khi bạn chạy script với tham số dài.🧠 TÌNH HUỐNG THỰC TẾ
🔍 Tình huống 1: Port 80 bị chiếm → cần kill Apache để chạy web server của bạn
bash→ Giờ port 80 đã trống → bạn có thể chạy
python3 -m http.server 80.🔍 Tình huống 2: Bạn chạy reverse shell bằng netcat — muốn kill nó để chạy lại
bash→ Hoặc:
bash🔍 Tình huống 3: Hệ thống chậm — bạn nghi ngờ có process lạ
bash→ Nhìn cột
%CPU,%MEM→ tìm process ngốn tài nguyên.→ Nhấn
Pđể sắp xếp theo CPU,Mtheo RAM.→ Nếu thấy process lạ → ghi lại PID →
kill -9 [PID].✍️ BÀI TẬP THỰC HÀNH (TRONG KALI)
- Mở terminal → chạy
ps aux | head -5→ xem 5 tiến trình đầu tiên. - Chạy
top→ xem các process đang ngốn CPU → nhấnqđể thoát. - Mở terminal mới → chạy:→ Tạo tiến trìnhbash
sleepchạy nền. - Dùng
ps aux | grep "sleep"→ tìm PID của nó. - Dùng
kill [PID]→ kill tiến trình đó. - Chạy lại
sleep 100 &→ dùngpkill sleepđể kill. - Dùng
pgrep sleep→ xem có còn PID không. - Cài
htop(nếu chưa có):sudo apt install htop - Chạy
htop→ dùng phím mũi tên → chọn process →F9→Enterđể kill. - Thoát
htop→ dọn dẹp. ⚠️ MẸO & LƯU Ý
Dùng
htopnếu được — dễ dùng, trực quan.- Không kill process hệ thống quan trọng (sshd, systemd...) → tránh crash máy.
- Luôn dùng
ps aux | grep [service]để tìm process đang chiếm port. - Dùng
kill -9khi process không chịu chết — nhưng tránh dùng bừa bãi. - ps aux → xem tất cả tiến trình top → giám sát hệ thống real-time htop → top nâng cao (cần cài) kill [PID] → giết process theo ID kill -9 [PID] → giết cứng, không cho phản kháng pkill [tên] → giết process theo tên pgrep [tên] → tìm PID theo tên
No comments:
Post a Comment