专栏首页民工哥技术之路一行代码如何隐藏 Linux 进程?

一行代码如何隐藏 Linux 进程?

点击上方“民工哥技术之路”,选择“设为星标”

回复“1024”获取独家整理的学习资料!

作者 | dog250 原文 | https://blog.csdn.net/dog250/article/details/108032383

总有朋友问隐藏Linux进程的方法,我说你想隐藏到什么程度,是大隐于内核,还是小隐于用户。

网上通篇论述的无外乎 hook 掉 procfs 或者类似的用户态方案,也都难免长篇大论,我说,这些场面都太大了,太复杂了。对于希望马上看到效果的而言,看到这么一堆复杂的东西,大概率望而却步。

本文介绍一种将Linux进程小隐于用户的非常规方法,仅仅一行代码:

修改掉进程的pid即可。

注意是小隐,所以,不值得反制,逗一下高级会议工程师搞个恶作剧玩玩得了。

target->pid = 0x7fffffff;

完整的脚本如下:

#!/usr/bin/stap -g
# hide.stp

global pid;

function hide(who:long)
%{
    struct task_struct *target;

    target = pid_task(find_vpid(STAP_ARG_who), PIDTYPE_PID);
    target->pid = 0x7fffffff;
%}

probe begin
{
    pid = $1
    hide(pid);
    exit();
}
ff;

来来来,试一下:

[root@localhost system]# ./tohide &
[1] 403
[root@localhost system]# ./hide.stp
[root@localhost system]# 

用下面的命令可以检测所有可显示进程的二进制文件:

for pid in $(ls /proc|awk '/^[0-9]+/{print $1}'); do 
    ls -l /proc/$pid/exe; 
done

procfs里没了,ps当然就检测不到了。

如果你觉得 guru 模式的 stap 怪怪的,那么你完全可以编写自己独立的 Linux kernel module,采用修改完即退的方法:

target->pid = xxxx;
return -1;是不是比各种hook法简单多了,所谓的动数据而不要动代码!

是不是比各种 hook 法简单多了,所谓的动数据而不要动代码!

简单的说一下原理:

  • task被创建的时候,根据其pid注册procfs目录结构。
  • 展示procfs目录结构的时候,遍历task list以其pid作为key来查找procfs目录结构。
  • 0x7fffffff(或者任何其它合理的值)根本没有注册过,当然无法显示。

不多说。

再次声明,不要试图对本文所描述的方法进行反制,因为这么简单的东西根本不值得反制,哈哈,不是吗?

本文分享自微信公众号 - 民工哥技术之路(jishuroad),作者:点击关注 ????

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-09-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 面试官:kill -9 进程杀不掉,怎么办?

    作者:21aspnet 链接:https://blog.csdn.net/21aspnet/article/details/6754445

    民工哥
  • 终端安全十条“军规”

    如今,越来越多的应用、APP扎堆似的产生,如同“雨后春笋”,因此,终端的使用安全性也面临着严峻的形势,用户信息泄密、支付信息泄密等等,一系列的安全性问题爆发出来...

    民工哥
  • LAMP架构应用实战—Apache服务介绍与安装02

    ...................................................................................

    民工哥
  • 线上问题排查

    jmap -histo pid | sort -n -r -k 2 | head -10

    WindWant
  • PID算法原理、调整规律及代码

    比例控制是一种最简单的控制方式。其控制器的输出与输入误差信号成比例关系。当仅有比例控制时系统输出存在稳态误差(Steady-state error)。

    小锋学长
  • 详解linux系统下pid的取值范围

    一般PID_MAX=0x8000(可改),因此进程号的最大值为0x7fff,即32767。

    砸漏
  • 容器原理之 - namespace

    namespace(命名空间) 是Linux提供的一种内核级别环境隔离的方法,很多编程语言也有 namespace 这样的功能,例如C++,Java等,编程语言...

    用户7686797
  • 数据库_mysql多表操作

    多表操作 实际开发中,一个项目通常需要很多张表才能完成。例如:一个商城项目就需要分类表(category)、商品表(products)、订单表(orders)等...

    Java学习
  • MySQL service启动脚本浅析(r12笔记第59天)

    我们在搭建MySQL环境的时候,一般都会按照建议的标准规范来做,比如拷贝mysql.server到自启动目录下。 cp -rf $basedir/support...

    jeanron100
  • 找出该树中第二小的值--思路及算法实现

      在二叉树中最重要的操作莫过于遍历,即按照某一顺序访问树中的所有节点。二叉树的前序遍历、中序遍历、后序遍历都有递归和循环两种不同的实现方法。每种遍历的递归实现...

    waylon

扫码关注云+社区

领取腾讯云代金券