作者 | dog250 原文 | https://blog.csdn.net/dog250/article/details/108032383 总有朋友问隐藏Linux进程的方法,我说你想隐藏到什么程度...本文介绍一种将Linux进程小隐于用户的非常规方法,仅仅一行代码: 修改掉进程的pid即可。 注意是小隐,所以,不值得反制,逗一下高级会议工程师搞个恶作剧玩玩得了。.../hide.stp [root@localhost system]# 用下面的命令可以检测所有可显示进程的二进制文件: for pid in $(ls /proc|awk '/^[0-9]+/{print...如果你觉得 guru 模式的 stap 怪怪的,那么你完全可以编写自己独立的 Linux kernel module,采用修改完即退的方法: target->pid = xxxx; return -1;
cpu使用率基本跑满(用户态),没有发现可疑的进程,初步怀疑可能是进程在哪里隐藏了 执行命令ps -aux --sort=-pcpu|head -10 嗯哼,藏得够深的,可还是被揪出来啦 ? ?...这个eta可能是起的一个守护进程,用于唤起上面圈起来的python进程, 这个脚本的用途是,链接远程服务"http://g.upxmr.com:999/version.txt",并下载 写入到本地隐藏文件...干掉可疑程序“ata”进程 [root@dtdream-common-prod-nginx-03 ~]# kill -9 70497 再次查看发现cpu使用率降下来了,挖矿程序也没启动了。 ? ?
关于Vegile Vegile是一款针对Linux系统设计和开发的强大后渗透测试工具,该工具所提供的后渗透利用技术可以确保广大研究人员保持一定程度的访问权,并允许对目标可信网络执行更加深入的渗透测试与安全分析...如果广大研究人员已经在目标系统上部署好了后门之后,该工具将帮助我们进一步对后门/rootkit进行设置,并隐藏指定的进程,而且不会在Metasploit中限制会话。...工具特性 1、支持使用reverse_shell的后门; 2、支持msfvenom命令; 3、进程隐藏; 4、支持使用crontab和xinit.d实现后门持久化; 5、实现会话、后门、rootkit...v=oYyH1G3Lsvo】 隐藏后门/rootkit进程: 演示视频:【https://www.youtube.com/watch?.../ http://www.kali.org/ https://sysdig.com/blog/hiding-linux-processes-for-fun-and-profit/
7、如何根据线程来过滤进程呢? 如果我们想知道特定进程的线程,可以使用 -L 参数,后面加上特定的PID。 $ ps -L 1213 ? 8、如何树形的显示进程?...如何格式化输出root用户(真实的或有效的UID)创建的进程?...如何使用PS实时监控进程状态? ps 命令会显示你系统当前的进程状态,但是这个结果是静态的。...12、最后 你也许每天都会使用ps命令来监控你的Linux系统。但是事实上,你可以通过ps命令的参数来生成各种你需要的报表。...ps命令的另一个优势是ps是各种 Linux系统都默认安装的,因此你只要用就行了。不要忘了通过 man ps来查看更多的参数。
之前测试过在进程管理器中隐藏进程的方法,现把代码公开: #define _CRT_SECURE_NO_WARNINGS #include #include #...{ case DLL_PROCESS_ATTACH: StartHook(); break; } return TRUE; } 将其注入到进程管理器进程中...,即可隐藏指定进程,当然在tasklist中依旧存在,win10 x86测试成功。
本文作者:Fooying、zhenyiguo、murphyzhang 一、背景 云鼎实验室曾分析不少入侵挖矿案例,研究发现入侵挖矿行为都比较粗暴简单,通过 top 等命令可以直接看到恶意进程,挖矿进程不会被刻意隐藏...;而现在,我们发现黑客开始不断使用一些隐藏手段去隐藏挖矿进程而使它获得更久存活,今天分析的内容是我们过去一个月内捕获的一起入侵挖矿事件。...通过 find 命令查找入侵时间范围内变更的文件,对变更文件的排查,同时对相关文件进行分析,基本可以确认黑客使用的进程隐藏手法。 ? ?...在变更文件里可以看到一些挖矿程序,同时 /etc/ld.so.preload 文件的变更需要引起注意,这里涉及到 Linux 动态链接库预加载机制,是一种常用的进程隐藏方法,而 top 等命令都是受这个机制影响的...在知道了黑客使用的隐藏手法后,直接编辑 /etc/ld.so.preload 文件去掉相关内容,然后再通过 top 命令即可看到挖矿进程: ? ?
关于mimic mimic是一款针对进程隐藏的安全工具,在该工具的帮助下,广大研究人员可以通过普通用户身份来在Linux操作系统(x86_64)上隐藏某个进程的执行。...使用的是一种名为“Covert execution”的技术,这种技术是一种隐藏进程的方式。在这种情况下,mimic会将进程隐藏起来,mimic可以启动任何程序,并使其看起来像任何其他程序。...S 20:01 0:01 [kworker/0:1] 当然了,伪装的进程肯定会有一个打开的套接字: root@monkey:~$ lsof -i -n -P | grep kworker...它不一定是一个现有的进程。...这将允许我们选择进程列表中我们所希望进程出现的位置。需要注意的是,内核为内核线程保留了前300个pid。如果你试图低于这个值,你可能最终会得到进程pid 301。
大致要求就是要实现自启动和自我隐藏。我使用的都是些简单的技术,只是实现自我隐藏稍微让我花费了点时间写算法。其实这个算法也很简单,就是大学时候写的从一个单向链表中删除一个元素。...); // 获取调用模块的名称 WCHAR* pFileName= NULL; pFileName = PathFindFileName(FilaPath); // 这是计算进程名在结构体中的偏移...PCHAR pchNameAddr = NULL; // 过滤第一个进程system idle。...这个进程在这个进程信息结构体中没有名字 if( FALSE !...= bidle ) { // 获取指向进程名的指针 memcpy_s( &pchNameAddr, sizeof(PCHAR), (PVOID)(pchCurrentAddr+dwnameoffset
众所周知,windows下可执行文件必须符合一定的格式要求,微软官方称之为PE文件(关于PE文件的详细介绍这里就不赘述了,google一下可以找到大把);用户在界面双击exe时,有个叫做explorer的进程会监测并接受到这个事件...然后根据注册表中的信息取得文件名,再以Explorer.exe这个文件名调用CreateProcess函数去运行用户双击的exe;PC中用户一般都是这样运行exe的,所以很多用户态的exe都是exlporer的子进程...分配内存 既然是运行,肯定是需要放在内存的,所以首先要开辟内存空间,才能把exe从磁盘加载进来;以32位为例,由于每个进程都有自己的4GB虚拟空间,所以还涉及到新生成页表、填充CR3等琐碎的细节工作...//将内存中的exe数据映射到peloader进程内存中,避免重新生成一个进程,这是隐藏exe的方式之一 if (FALSE == MapFile(pFileBuff, chBaseAddress...,然后运行exe的,所以exe的代码和数据其实都在loader的空间,并未单独生成一个进程,所以任务管理器、process hacker是都查不到的!
碰到需要杀掉某一类进程的时候,如何批量杀掉这些进程,使用awk命令是很好的选择。...grep|awk '{print "kill -9 " $2}' |sh 1. ps -ef|grep aaa|grep -v grep 这是大家很熟悉的命令,这里就不再多说,就是从当前系统运行的进程的进程名中包含...aaa关键字的进程。...boco关键字的进程 而ps -ef|grep boco|grep -v grep|awk '{print "kill -9 "$2}'则列出了要kill掉这些进程的命令,并将之打印在了屏幕上 在ps...-ef|grep boco|grep -v grep|awk '{print "kill -9 "$2}'后面加上|sh后,则执行这些命令,进而杀掉了这些进程。
你尝试再次运行该程序,系统反馈说原来的进程没有完全关闭。 那么,如何快速方便的杀死某些进程呢?我们可以参考本文,介绍如何快速完美的清除进程。...我来概述的步骤是每个 Linux 发行版都能用的,不论是桌面版还是服务器版。...查找进程ID(PID) 结束进程的常见模式是通过它的进程ID(PID)。有多种方法可以找到PID。...在这种情况下,killall是一个选项: killall [process name] 更多关于kill和killall命令,可以参考如何使用killall和kill命令来停止进程这篇文章。...---- 参考文献:《Find and Terminate Processes from the Linux or Mac OS Command Line》
我们前面说过几种隐藏进程的方法: 遍历进程活动链表(ActiveProcessLinks) 遍历PspCidTable表检测隐藏进程 但还是不能防止别人通过各种方法来隐藏进程,所以下面来介绍一种通过暴力搜索内存枚举进程的方法...一个进程要运行,必然会加载到内存中。基于这个事实,隐藏进程要在目标机运行,在内存中一定会存在对应的EPROCESS结构体。...基于系统内存搜索的进程监测技术利用EPROCESS结构体特征找到EPROCESS地址指针进而输出进程信息,可以有效地对进程进行全面的监测。 那我们应该搜索进程的什么结构?...进程的PEB(PEB(Process Environment Block)——进程环境块)。主要原因是PEB地址的高4位是相同的。...,如果是非结束输出进程信息。
共享内存 IPC 原理 共享内存进程间通信机制主要用于实现进程间大量的数据传输,下图所示为进程间使用共享内存实现大量数据传输的示意图: ?...该数据结构定义如下: from /usr/include/linux/shm.h struct shmid_ds { struct ipc_perm shm_perm; /* operation perms...SHMALL (SHMMAX/getpagesize()*(SHMMNI/16))| define SHMSEG SHMMNI /* max shared segs per process */ Linux...1.使用 fork() 函数创建一个子进程后,该进程继承父亲进程挂载的共享内存。...3.如果在某个进程中调用了 exit() 函数,所有挂载的共享内存将与当前进程脱离关系。 程序实例 申请一段共享内存,父进程在首地址处存入一整数,子进程读出。
DKOM 就是直接内核对象操作技术,我们所有的操作都会被系统记录在内存中,而驱动进程隐藏的做旧就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表,要实现进程的隐藏我们只需要将某个进程中的信息...,在系统EPROCESS链表中摘除即可实现进程隐藏。...DKOM 隐藏进程的本质是操作EPROCESS结构体,EPROCESS结构体中包含了系统中的所有进程相关信息,还有很多指向其他结构的指针,首先我们可以通过WinDBG在内核调试模式下输入dt_eprocess...ActiveProcessLinks 该指针把每个进程的EPROCESS结构体连接成了双向链表,我们可以使用 ZwQuerySystemInformation 这个函数来遍历出所有的进程信息,要实现进程的隐藏...,只需要将某个进程的EPROCESS从结构体中摘除,那么通过ZwQuerySystemInformation函数就无法遍历出被摘链的进程了,从而实现了进程的隐藏。
DKOM 就是直接内核对象操作技术,我们所有的操作都会被系统记录在内存中,而驱动进程隐藏的做旧就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表,要实现进程的隐藏我们只需要将某个进程中的信息...,在系统EPROCESS链表中摘除即可实现进程隐藏。...DKOM 隐藏进程的本质是操作EPROCESS结构体,EPROCESS结构体中包含了系统中的所有进程相关信息,还有很多指向其他结构的指针,首先我们可以通过WinDBG在内核调试模式下输入dt_eprocess...要实现进程的隐藏我们需要关注结构中的 ActiveProcessLinks 该指针把每个进程的EPROCESS结构体连接成了双向链表,我们可以使用 ZwQuerySystemInformation 这个函数来遍历出所有的进程信息...,要实现进程的隐藏,只需要将某个进程的EPROCESS从结构体中摘除,那么通过ZwQuerySystemInformation函数就无法遍历出被摘链的进程了,从而实现了进程的隐藏。
隐藏权限的介绍 有时候你发现即时使用的是root用户也不能修改某个文件,大部分原因是因为使用过chattr命令锁定了该文件,这个命令的作用很大,通过chattr可以提高系统的安全性,但是这个命令并不适合所有的目录...与我们前面看到的chmod这些命令修改权限不同的是chattr修改的是更底层的属性,这里面我们所提到的隐藏权限指的就是使用chattr来设置属性 隐藏权限的设置和查看 chattr的用户与我们之前讲的chmod...,chow这些命令相似,都是直接对需要修改的文件进行操作就可以了 chattr命令:为文件设置隐藏权限 命令选项 + 增加权限 - 删除权限 = 赋予什么权限,文件最终权限 A 文件或目录的atime不可被修改...lsattr命令: 查看文件隐藏权限 通过案例学习命令用法: 给file1文件添加AaiSd权限 [root@zutuanxue test]# chattr +AaiSd file1 查看文件file1...隐藏权限 [root@zutuanxue test]# lsattr file1 --S-iadA---------- file1 设置删除file1文件隐藏权限 - 可以使用-号 - 可以使用
grep进程。...杀进程 使用kill命令结束进程:kill xxx 常用:kill -9 324 Linux下还提供了一个killall命令,可以直接使用进程的名字而不是进程标识号,例如:# killall -9 NAME...显示进程 命令:ps 格式:ps [option] 功能:显示系统中进程的信息。包括进程ID、控制进程终端、执行时间和命令。...选项: -a 显示所有进程信息 -U uidlist 列出这个用户的所有进程 -e 显示当前运行的每一个进程信息 -f 显示一个完整的列表 -x 显示包括没有终端控制的进程状况 。...终止进程 命令:kill 格式:kill [option] pid 功能:向指定的进程送信号或终止进程。
QStandardPaths: XDG_RUNTIME_DIR not set, defaulting to ‘/tmp/runtime-root’
DKOM 即直接内核对象操作,我们所有的操作都会被系统记录在内存中,而驱动进程隐藏就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表,要实现进程的隐藏我们只需要将某个进程中的信息,在系统...EPROCESS链表中摘除即可实现进程隐藏。...+0x300 RundownProtect : _EX_RUNDOWN_REF +0x308 Flags2 : Uint4B在实现进程隐藏之前,需要通过代码的方式获取到当前系统中所有进程...GetProcessObjectByName("C32Asm.exe"); DriverObject->DriverUnload = UnDriver; return STATUS_SUCCESS;}得到句柄以后直接摘除进程的结构即可实现隐藏...PsGetProcessImageFileName(ep); if (_stricmp(pn, name) == 0) return ep; } } return NULL;}// 隐藏进程
今天在Linux上调试程序程序的时候发现有时候程序会莫名其妙的hang住,于是就想能不能找到当时程序有那些线程,都在做什么。找了一下linux命令,还真可以满足我的需求。下面看一个小例子。...test2, args=()) t1.start() t2.start() time.sleep(12345) 然后运行这个程序 $ python test.py 先使用 “pstree -apl ” 查看进程结构
领取专属 10元无门槛券
手把手带您无忧上云