Auch unter Linux ist es relativ einfach einen laufenden Prozess zu verstecken. Mit den richtigen Anweisungen programmiert und kompiliert braucht der offizielle Kernel von kernel.org nicht mal gepatcht werden, um Programme vor der Anzeige via ps oder top zu verstecken. Auf diese Weise verstecken sich unter anderem rootkits – vermutlich wird auch der in den Medien viel beredete Bundestrojaner ein solches Verhalten nutzen.
Eine vollständige Verschleierung ist jedoch nicht möglich. Innerhalb des virtuellen /proc Verzeichnissbaumes finden sich alle laufenden Prozesse als Unterverzeichnis entsprechend ihrer Prozessnummer. Und natürlich liegen hier auch die Prozesse, die vor der regulären Anzeige versteckt sind.
Mit den richtigen Tools kann man so über /proc alle Prozesse – auch die versteckten – problemlos anzeigen lassen. Das bekannteste Tool zum aufspüren ist wohl chkrootkit. Eine elegantere Möglichkeit alle Prozesse (oder nur die versteckten) anzeigen zu lassen bietet beispielsweise listps.
