linux 如何隐藏进程

在Linux系统中，隐藏进程并不是一个推荐的做法，因为它可能被用于恶意目的，如逃避监控或隐藏病毒活动。然而，了解如何实现这一技术对于系统管理员来说是有教育意义的，可以帮助他们检测和防止未授权的进程隐藏行为。

一种常见的隐藏进程的方法是通过修改进程的属性，使其不被常规的ps命令等工具列出。这可以通过使用chattr命令给进程的可执行文件添加+h（隐藏）属性来实现，但这并不会真正隐藏正在运行的进程，而只是使得文件在常规文件列表中不可见。

更高级的隐藏方法涉及到直接操作内核数据结构，比如修改/proc文件系统中的相关条目。这通常需要root权限，并且涉及到对Linux内核的深入理解。例如，可以通过修改进程的PID或者父PID来混淆进程的追踪，或者通过编写内核模块来拦截和修改进程信息的查询结果。

另一种方法是使用unshare命令创建一个新的命名空间，这样在新命名空间中运行的进程就不会出现在宿主系统的进程列表中。

然而，这些方法都有其局限性和风险，且可能会被系统管理员或安全工具检测到。此外，这些技术可能会违反系统的使用政策或法律法规。

如果你的目的是为了保护某个进程不被普通的用户查看，可以考虑使用更合法和安全的方法，例如：

使用screen或tmux等终端复用工具来管理会话，这样即使用户注销，进程也可以继续运行。
使用systemd服务来管理进程，可以设置服务的可见性，使其不在用户的标准进程查看命令中出现。
调整文件和目录的权限，使得只有特定的用户或组能够访问进程相关的文件。

请记住，任何试图隐藏进程的行为都应该出于合法和正当的目的，并且要确保不会违反任何安全策略或法律法规。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

一行代码如何隐藏 Linux 进程？

作者 | dog250 原文 | https://blog.csdn.net/dog250/article/details/108032383 总有朋友问隐藏Linux进程的方法，我说你想隐藏到什么程度...本文介绍一种将Linux进程小隐于用户的非常规方法，仅仅一行代码：修改掉进程的pid即可。注意是小隐，所以，不值得反制，逗一下高级会议工程师搞个恶作剧玩玩得了。.../hide.stp [root@localhost system]# 用下面的命令可以检测所有可显示进程的二进制文件： for pid in $(ls /proc|awk '/^[0-9]+/{print...如果你觉得 guru 模式的 stap 怪怪的，那么你完全可以编写自己独立的 Linux kernel module，采用修改完即退的方法： target->pid = xxxx; return -1;

2.4K4 0

Linux 遭入侵，挖矿进程被隐藏排查记录

cpu使用率基本跑满（用户态），没有发现可疑的进程，初步怀疑可能是进程在哪里隐藏了执行命令ps -aux --sort=-pcpu|head -10 嗯哼，藏得够深的，可还是被揪出来啦 ? ?...这个eta可能是起的一个守护进程，用于唤起上面圈起来的python进程，这个脚本的用途是，链接远程服务"http://g.upxmr.com:999/version.txt",并下载写入到本地隐藏文件...干掉可疑程序“ata”进程 [root@dtdream-common-prod-nginx-03 ~]# kill -9 70497 再次查看发现cpu使用率降下来了，挖矿程序也没启动了。 ? ?

7.9K3 0

如何使用Vegile隐藏指定进程的运行

关于Vegile Vegile是一款针对Linux系统设计和开发的强大后渗透测试工具，该工具所提供的后渗透利用技术可以确保广大研究人员保持一定程度的访问权，并允许对目标可信网络执行更加深入的渗透测试与安全分析...如果广大研究人员已经在目标系统上部署好了后门之后，该工具将帮助我们进一步对后门/rootkit进行设置，并隐藏指定的进程，而且不会在Metasploit中限制会话。...工具特性 1、支持使用reverse_shell的后门； 2、支持msfvenom命令； 3、进程隐藏； 4、支持使用crontab和xinit.d实现后门持久化； 5、实现会话、后门、rootkit...v=oYyH1G3Lsvo】隐藏后门/rootkit进程：演示视频：【https://www.youtube.com/watch?.../ http://www.kali.org/ https://sysdig.com/blog/hiding-linux-processes-for-fun-and-profit/

1.8K3 0

Linux进程之如何查看进程详情?

7、如何根据线程来过滤进程呢？如果我们想知道特定进程的线程，可以使用 -L 参数，后面加上特定的PID。 $ ps -L 1213 ? 8、如何树形的显示进程？...如何格式化输出root用户（真实的或有效的UID）创建的进程？...如何使用PS实时监控进程状态？ ps 命令会显示你系统当前的进程状态，但是这个结果是静态的。...12、最后你也许每天都会使用ps命令来监控你的Linux系统。但是事实上，你可以通过ps命令的参数来生成各种你需要的报表。...ps命令的另一个优势是ps是各种 Linux系统都默认安装的，因此你只要用就行了。不要忘了通过 man ps来查看更多的参数。

12.4K2 0

如何使用mimic在LInux中以普通用户身份来隐藏进程

关于mimic mimic是一款针对进程隐藏的安全工具，在该工具的帮助下，广大研究人员可以通过普通用户身份来在Linux操作系统（x86_64）上隐藏某个进程的执行。...使用的是一种名为“Covert execution”的技术，这种技术是一种隐藏进程的方式。在这种情况下，mimic会将进程隐藏起来，mimic可以启动任何程序，并使其看起来像任何其他程序。...S 20:01 0:01 [kworker/0:1] 当然了，伪装的进程肯定会有一个打开的套接字： root@monkey:~$ lsof -i -n -P | grep kworker...它不一定是一个现有的进程。...这将允许我们选择进程列表中我们所希望进程出现的位置。需要注意的是，内核为内核线程保留了前300个pid。如果你试图低于这个值，你可能最终会得到进程pid 301。

4453 0

进程管理器中隐藏进程

之前测试过在进程管理器中隐藏进程的方法，现把代码公开： #define _CRT_SECURE_NO_WARNINGS #include #include #...{ case DLL_PROCESS_ATTACH: StartHook(); break; } return TRUE; } 将其注入到进程管理器进程中...，即可隐藏指定进程，当然在tasklist中依旧存在，win10 x86测试成功。

1.1K3 0

安全研究 | Linux 遭入侵，挖矿进程被隐藏案例分析

本文作者：Fooying、zhenyiguo、murphyzhang 一、背景云鼎实验室曾分析不少入侵挖矿案例，研究发现入侵挖矿行为都比较粗暴简单，通过 top 等命令可以直接看到恶意进程，挖矿进程不会被刻意隐藏...；而现在，我们发现黑客开始不断使用一些隐藏手段去隐藏挖矿进程而使它获得更久存活，今天分析的内容是我们过去一个月内捕获的一起入侵挖矿事件。...通过 find 命令查找入侵时间范围内变更的文件，对变更文件的排查，同时对相关文件进行分析，基本可以确认黑客使用的进程隐藏手法。 ? ?...在变更文件里可以看到一些挖矿程序，同时 /etc/ld.so.preload 文件的变更需要引起注意，这里涉及到 Linux 动态链接库预加载机制，是一种常用的进程隐藏方法，而 top 等命令都是受这个机制影响的...在知道了黑客使用的隐藏手法后，直接编辑 /etc/ld.so.preload 文件去掉相关内容，然后再通过 top 命令即可看到挖矿进程： ? ?

3.2K8 0

CC++ 进程隐藏&加载寄生&僵尸进程

众所周知，windows下可执行文件必须符合一定的格式要求，微软官方称之为PE文件（关于PE文件的详细介绍这里就不赘述了，google一下可以找到大把）；用户在界面双击exe时，有个叫做explorer的进程会监测并接受到这个事件...然后根据注册表中的信息取得文件名，再以Explorer.exe这个文件名调用CreateProcess函数去运行用户双击的exe；PC中用户一般都是这样运行exe的，所以很多用户态的exe都是exlporer的子进程...分配内存　　既然是运行，肯定是需要放在内存的，所以首先要开辟内存空间，才能把exe从磁盘加载进来；以32位为例，由于每个进程都有自己的4GB虚拟空间，所以还涉及到新生成页表、填充CR3等琐碎的细节工作...//将内存中的exe数据映射到peloader进程内存中，避免重新生成一个进程，这是隐藏exe的方式之一 if (FALSE == MapFile(pFileBuff, chBaseAddress...，然后运行exe的，所以exe的代码和数据其实都在loader的空间，并未单独生成一个进程，所以任务管理器、process hacker是都查不到的！

8542 0

使用APIHOOK实现进程隐藏

大致要求就是要实现自启动和自我隐藏。我使用的都是些简单的技术，只是实现自我隐藏稍微让我花费了点时间写算法。其实这个算法也很简单，就是大学时候写的从一个单向链表中删除一个元素。...); // 获取调用模块的名称 WCHAR* pFileName= NULL; pFileName = PathFindFileName(FilaPath); // 这是计算进程名在结构体中的偏移...PCHAR pchNameAddr = NULL; // 过滤第一个进程system idle。...这个进程在这个进程信息结构体中没有名字 if( FALSE !...= bidle ) { // 获取指向进程名的指针 memcpy_s( &pchNameAddr, sizeof(PCHAR), (PVOID)(pchCurrentAddr+dwnameoffset

1.1K2 1

linux如何批量关闭进程

碰到需要杀掉某一类进程的时候，如何批量杀掉这些进程，使用awk命令是很好的选择。...grep|awk '{print "kill -9 " $2}' |sh 1. ps -ef|grep aaa|grep -v grep 这是大家很熟悉的命令，这里就不再多说，就是从当前系统运行的进程的进程名中包含...aaa关键字的进程。...boco关键字的进程而ps -ef|grep boco|grep -v grep|awk '{print "kill -9 "$2}'则列出了要kill掉这些进程的命令，并将之打印在了屏幕上在ps...-ef|grep boco|grep -v grep|awk '{print "kill -9 "$2}'后面加上|sh后，则执行这些命令，进而杀掉了这些进程。

7.9K2 0

如何快速终止Linux进程

你尝试再次运行该程序，系统反馈说原来的进程没有完全关闭。那么，如何快速方便的杀死某些进程呢？我们可以参考本文，介绍如何快速完美的清除进程。...我来概述的步骤是每个 Linux 发行版都能用的，不论是桌面版还是服务器版。...查找进程ID（PID）结束进程的常见模式是通过它的进程ID（PID）。有多种方法可以找到PID。...在这种情况下，killall是一个选项： killall [process name] 更多关于kill和killall命令，可以参考如何使用killall和kill命令来停止进程这篇文章。...---- 参考文献：《Find and Terminate Processes from the Linux or Mac OS Command Line》

3.6K3 0

暴力搜索内存进程对象反隐藏进程

我们前面说过几种隐藏进程的方法：遍历进程活动链表（ActiveProcessLinks）遍历PspCidTable表检测隐藏进程但还是不能防止别人通过各种方法来隐藏进程，所以下面来介绍一种通过暴力搜索内存枚举进程的方法...一个进程要运行，必然会加载到内存中。基于这个事实，隐藏进程要在目标机运行，在内存中一定会存在对应的EPROCESS结构体。...基于系统内存搜索的进程监测技术利用EPROCESS结构体特征找到EPROCESS地址指针进而输出进程信息，可以有效地对进程进行全面的监测。那我们应该搜索进程的什么结构？...进程的PEB（PEB(Process Environment Block)——进程环境块）。主要原因是PEB地址的高4位是相同的。...，如果是非结束输出进程信息。

1.7K2 0

驱动开发：DKOM 实现进程隐藏

DKOM 就是直接内核对象操作技术，我们所有的操作都会被系统记录在内存中，而驱动进程隐藏的做旧就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表，要实现进程的隐藏我们只需要将某个进程中的信息...，在系统EPROCESS链表中摘除即可实现进程隐藏。...DKOM 隐藏进程的本质是操作EPROCESS结构体，EPROCESS结构体中包含了系统中的所有进程相关信息，还有很多指向其他结构的指针，首先我们可以通过WinDBG在内核调试模式下输入dt_eprocess...ActiveProcessLinks 该指针把每个进程的EPROCESS结构体连接成了双向链表，我们可以使用 ZwQuerySystemInformation 这个函数来遍历出所有的进程信息，要实现进程的隐藏...，只需要将某个进程的EPROCESS从结构体中摘除，那么通过ZwQuerySystemInformation函数就无法遍历出被摘链的进程了，从而实现了进程的隐藏。

5462 0

Linux 进程间如何共享内存？

共享内存 IPC 原理共享内存进程间通信机制主要用于实现进程间大量的数据传输，下图所示为进程间使用共享内存实现大量数据传输的示意图： ?...该数据结构定义如下： from /usr/include/linux/shm.h struct shmid_ds { struct ipc_perm shm_perm; /* operation perms...SHMALL (SHMMAX/getpagesize()*(SHMMNI/16))| define SHMSEG SHMMNI /* max shared segs per process */ Linux...1.使用 fork() 函数创建一个子进程后，该进程继承父亲进程挂载的共享内存。...3.如果在某个进程中调用了 exit() 函数，所有挂载的共享内存将与当前进程脱离关系。程序实例申请一段共享内存，父进程在首地址处存入一整数，子进程读出。

8.4K2 1

驱动开发：DKOM 实现进程隐藏

DKOM 就是直接内核对象操作技术，我们所有的操作都会被系统记录在内存中，而驱动进程隐藏的做旧就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表，要实现进程的隐藏我们只需要将某个进程中的信息...，在系统EPROCESS链表中摘除即可实现进程隐藏。...DKOM 隐藏进程的本质是操作EPROCESS结构体，EPROCESS结构体中包含了系统中的所有进程相关信息，还有很多指向其他结构的指针，首先我们可以通过WinDBG在内核调试模式下输入dt_eprocess...要实现进程的隐藏我们需要关注结构中的 ActiveProcessLinks 该指针把每个进程的EPROCESS结构体连接成了双向链表，我们可以使用 ZwQuerySystemInformation 这个函数来遍历出所有的进程信息...，要实现进程的隐藏，只需要将某个进程的EPROCESS从结构体中摘除，那么通过ZwQuerySystemInformation函数就无法遍历出被摘链的进程了，从而实现了进程的隐藏。

6631 0

linux 隐藏权限

隐藏权限的介绍有时候你发现即时使用的是root用户也不能修改某个文件，大部分原因是因为使用过chattr命令锁定了该文件，这个命令的作用很大，通过chattr可以提高系统的安全性，但是这个命令并不适合所有的目录...与我们前面看到的chmod这些命令修改权限不同的是chattr修改的是更底层的属性，这里面我们所提到的隐藏权限指的就是使用chattr来设置属性隐藏权限的设置和查看 chattr的用户与我们之前讲的chmod...，chow这些命令相似，都是直接对需要修改的文件进行操作就可以了 chattr命令：为文件设置隐藏权限命令选项 + 增加权限 - 删除权限 = 赋予什么权限，文件最终权限 A 文件或目录的atime不可被修改...lsattr命令: 查看文件隐藏权限通过案例学习命令用法：给file1文件添加AaiSd权限 [root@zutuanxue test]# chattr +AaiSd file1 查看文件file1...隐藏权限 [root@zutuanxue test]# lsattr file1 --S-iadA---------- file1 设置删除file1文件隐藏权限 - 可以使用-号 - 可以使用

3.8K2 0

Linux如何查看进程、杀死进程、启动进程等常用命令

grep进程。...杀进程使用kill命令结束进程：kill xxx 常用：kill －9 324 Linux下还提供了一个killall命令，可以直接使用进程的名字而不是进程标识号，例如：# killall -9 NAME...显示进程命令：ps 格式：ps [option] 功能：显示系统中进程的信息。包括进程ID、控制进程终端、执行时间和命令。...选项： -a 显示所有进程信息 -U uidlist 列出这个用户的所有进程 -e 显示当前运行的每一个进程信息 -f 显示一个完整的列表 -x 显示包括没有终端控制的进程状况。...终止进程命令：kill 格式：kill [option] pid 功能：向指定的进程送信号或终止进程。

7.7K2 2

驱动开发：摘链DKOM进程隐藏

DKOM 即直接内核对象操作，我们所有的操作都会被系统记录在内存中，而驱动进程隐藏就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表，要实现进程的隐藏我们只需要将某个进程中的信息，在系统...EPROCESS链表中摘除即可实现进程隐藏。...+0x300 RundownProtect : _EX_RUNDOWN_REF +0x308 Flags2 : Uint4B在实现进程隐藏之前，需要通过代码的方式获取到当前系统中所有进程...GetProcessObjectByName("C32Asm.exe"); DriverObject->DriverUnload = UnDriver; return STATUS_SUCCESS;}得到句柄以后直接摘除进程的结构即可实现隐藏...PsGetProcessImageFileName(ep); if (_stricmp(pn, name) == 0) return ep; } } return NULL;}// 隐藏进程

4962 0

linux中如何杀掉一个进程_linux系统杀死所有进程命令

QStandardPaths: XDG_RUNTIME_DIR not set, defaulting to ‘/tmp/runtime-root’

2.9K1 0

【玩转Linux】如何快速理解进程概念

定位在整个计算机软硬件架构中，操作系统的定位是：一款纯正的“搞管理”的软件如何理解 "管理" 管理的例子描述被管理对象组织被管理对象进程基本概念课本概念：程序的一个执行实例，正在执行的程序等...课本上称之为PCB（process control block），Linux操作系统下的PCB是: task_struct task_struct-PCB的一种在Linux中描述进程的结构体叫做task_struct...task_struct是Linux内核的一种数据结构，它会被装载到RAM(内存)里并且包含着进程的信息 task_ struct内容分类标示符: 描述本进程的唯一标示符，用来区别其他进程。...一个进程可以有几个状态（在Linux内核里，进程有时候也叫做任务）。...内存泄漏进程状态总结至此，值得关注的进程状态全部讲解完成，下面来认识另一种进程孤儿进程父进程如果提前退出，那么子进程后退出，进入Z之后，那该如何处理呢？

651 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

linux 如何隐藏进程

相关·内容

一行代码如何隐藏 Linux 进程？

Linux 遭入侵，挖矿进程被隐藏排查记录

如何使用Vegile隐藏指定进程的运行

Linux进程之如何查看进程详情?

如何使用mimic在LInux中以普通用户身份来隐藏进程

进程管理器中隐藏进程

安全研究 | Linux 遭入侵，挖矿进程被隐藏案例分析

CC++ 进程隐藏&加载寄生&僵尸进程

使用APIHOOK实现进程隐藏

linux如何批量关闭进程

如何快速终止Linux进程

暴力搜索内存进程对象反隐藏进程

驱动开发：DKOM 实现进程隐藏

Linux 进程间如何共享内存？

驱动开发：DKOM 实现进程隐藏

linux 隐藏权限

Linux如何查看进程、杀死进程、启动进程等常用命令

驱动开发：摘链DKOM进程隐藏

linux中如何杀掉一个进程_linux系统杀死所有进程命令

【玩转Linux】如何快速理解进程概念

扫码

相关资讯

热门标签

活动推荐

运营活动

社区

活动

资源

关于

腾讯云开发者

热门产品

热门推荐

更多推荐