Gestão de processos - Cheat Sheet by Ooclaar

Todo comando que você executa, todo serviço rodando em segundo plano, é um **processo**. Compreender como eles funcionam, como se comportam e como investigá-los é uma habilidade fundamental para qualquer pessoa que queira dominar o Linux, seja para otimizar o desempenho, depurar problemas ou detectar atividades maliciosas. ## A Anatomia de um Processo Imagine cada processo como um **habitante digital** com suas próprias características vitais: - **PID (Process ID)**: Sua identidade única, como um RG. É o número que usamos para interagir diretamente com ele. - **PPID (Parent Process ID)**: A identidade do processo que o criou, ou seja, seu "pai". Isso nos ajuda a entender a hierarquia e a origem dos processos. - **CPU/Memory**: Os recursos vitais que ele consome para sobreviver e executar suas tarefas. - **Estado**: Indica o que o processo está fazendo em um determinado momento. ### Os Estados de um Processo | Código | Estado | Descrição | | ------ | ------------------------- | ---------------------------------------------------------------- | | **R** | **Running** | Executando ativamente na CPU ou pronto para executar. | | **S** | **Sleeping** | Esperando por um evento ou recurso (ex: input do usuário). | | **D** | **Uninterruptible Sleep** | Esperando por I/O (geralmente disco). Não pode ser "morto". | | **Z** | **Zombie** | O processo terminou, mas seu "pai" ainda não coletou seu status. | | **T** | **Stopped** | Pausado por um sinal (ex: kill -STOP) ou por um depurador. | | **I** | **Idle** | Inativo (específico de alguns kernels). | ## Laboratório Prático: Criando e Controlando Vamos criar e manipular nosso próprio processo para ver esses conceitos em ação. ```bash # 1. Crie um processo que dorme por um longo tempo em segundo plano (&). sleep 999 & # 2. Encontre o PID do seu processo. ps axu | grep sleep # Anote o PID - este é SEU processo agora. # Vamos supor que o PID seja 1234. # 3. Agora, seja o "controlador" usando sinais. # Sinal STOP: Pausa a execução do processo. kill -STOP 1234 # Sinal CONT: Continua a execução de um processo pausado. kill -CONT 1234 # Sinal KILL (-9): Força o término imediato. É o último recurso! kill -9 1234 ``` ## Olhando por Trás dos Números da CPU > 🧙 **Uma verdade sobre a CPU:** Ela não é medida em "velocidade", mas em **Fatias de Tempo**. Cada processo ganha pequenos pedaços de tempo de processamento (cerca de 1/1000 de segundo) para executar. O comando top nos dá uma visão em tempo real dessa distribuição. ```bash # Abra o `top` com uma atualização rápida para ver as mudanças em tempo real. top -d 0.5 ``` A primeira linha do top é crucial: ```bash # Linha de CPU do comando top: %Cpu(s): 0.3 us, 0.1 sy, 0.0 ni, 99.6 id, 0.0 wa, 0.0 hi, 0.0 si, 0.0 st user system nice idle wait hard soft steal ``` ### Decodificação e Sinais de Alerta | Código | Significado | O que é | ⚠️ Sinal de Alerta (se alto) | | --------- | ---------------------------- | ------------------------------------------------- | --------------------------------------------------------------- | | **us** | User | Tempo gasto em processos de usuário. | Normal, mas um único processo monopolizando indica um problema. | | **sy** | System | Tempo gasto pelo Kernel (núcleo do sistema). | **> 30%**: Kernel sobrecarregado, possível problema de driver. | | **ni** | Nice | Tempo gasto em processos com prioridade alterada. | - | | **id** | Idle | Tempo em que a CPU esteve ociosa. | Baixo id significa alta utilização. | | **wa** | I/O Wait | Tempo esperando por operações de disco. | **> 20%**: Gargalo no disco, o disco pode estar morrendo. | | **hi/si** | Hardware/Software Interrupts | Tempo gasto com interrupções. | **> 5%**: Possível problema de hardware ou de driver. | ## O Arquivo Secreto /proc/ O diretório /proc é uma mina de ouro. É um sistema de arquivos virtual que expõe em tempo real todas as informações que o Kernel tem sobre os processos. ```bash # Escolha um PID real (use `ps aux` para encontrar um) e investigue. PID=1234 # Substitua por um PID real # Onde ele "mora" no sistema? ls -la /proc/$PID/ ``` ### Estrutura Interna de um Processo em /proc |Arquivo/Dir|Descrição|Comando de Investigação| |---|---|---| |**cmdline**|O comando exato que foi usado para iniciar o processo.|cat /proc/$PID/cmdline| |**environ**|Variáveis de ambiente do processo (cuidado com senhas aqui!).|cat /proc/$PID/environ| |**exe**|Um link simbólico para o arquivo executável original no disco.|ls -la /proc/$PID/exe| |**fd/**|Um diretório contendo links para todos os arquivos abertos.|ls -la /proc/$PID/fd/| |**maps**|O mapa de memória do processo (bibliotecas, etc.).|cat /proc/$PID/maps| |**stat**|Estatísticas detalhadas de status e consumo de recursos.|cat /proc/$PID/stat| |**cwd**|Link para o diretório de trabalho atual do processo.|ls -la /proc/$PID/cwd| ## Camuflagem e Detecção Processos maliciosos frequentemente tentam se esconder. Aqui estão as técnicas de ataque (camuflagem) e defesa (contramedidas). ### Técnicas de Camuflagem (Ataque) Um atacante pode usar exec -a para mudar o nome que o processo exibe em comandos como ps. ```bash # Renomear um script para parecer um processo de sistema. exec -a "system-update" ./script.sh # Fazer o processo parecer um worker do kernel. exec -a "[kworker/1:0]" ./programa # Tentar esconder o processo na lista com espaços em branco. exec -a " " ./backdoor ``` ### Contramedidas (Defesa) Como um defensor, você precisa saber olhar além das aparências. ```bash # 1. Detectar disfarces exibindo o comando completo, não apenas o nome. ps axo pid,ppid,cmd | grep -v grep # 2. Encontrar os executáveis REAIS, ignorando os nomes falsos. # Esta é a técnica mais poderosa, pois o link 'exe' não mente. ls -la /proc/*/exe # 3. Encontrar processos suspeitos com nomes muito longos (como o de espaços). ps aux | awk '{if(length($11) > 15) print $0}' ``` ## Técnicas Avançadas Para os verdadeiros mestres, a investigação vai além. - **Process injection:** Injetar código em um processo em execução usando ptrace. - **Kernel modules:** Criar módulos de kernel para obter invisibilidade quase total (rootkits). - **Memory forensics:** Analisar um "dump" (cópia) da memória RAM para encontrar artefatos. - **Container escape:** Explorar vulnerabilidades para "quebrar a jaula" de um container Docker. ### Comandos de Mestre ```bash # Permitir que processos sejam "depurados" por outros do mesmo usuário. # (Atenção: Reduz a segurança, mas é útil para análise). echo 0 > /proc/sys/kernel/yama/ptrace_scope # Simular carga na CPU para testar o comportamento do sistema. stress --cpu 8 --timeout 60s # A ferramenta definitiva: Rastrear TODAS as chamadas de sistema de um processo. # Incrivelmente útil para depurar o que um programa está realmente fazendo. strace -p $PID -f -e trace=file ```