linux 进程隐藏 hook_linux hook进程_hook linux 进程 - 腾讯云开发者社区 - 腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

干货｜通过HOOK底层API实现进程隐藏

前言一次跟师傅交流时师傅谈到有些EDR或AV,他们保护目标主机,甚至无进程,不经想到病毒实际上也常用这种技术。当然,做到隐藏,一个简单的dll注入或者劫持就可以,但本文主要讲解关于进程的隐藏。...PE文件隐藏可以通过 •进程伪装: 将进程名替换成其他正常进程的名称(修改PEB路径和命令行信息)•傀儡进程: 通过将主进程挂起,替换内存数据,卸载镜像,修改上下文,并执行真正我们想要执行的进程,这也是一些壳的原理...•HOOK: 通过HOOK三环最底层APIZwQuerySystemInformation实现隐藏,这是本文的重点•COM劫持、DLL劫持、DLL注入.........= (PSYSTEM_PROCESS_INFORMATION)SystemInformation; while (TRUE) { // 判断是否是要隐藏的进程...这里选择隐藏QQ程序 ? 注入程序后 ? ? 可以看到QQ进程信息已经剔除思考如何将所有进程钩住? 使用全局钩子,这里我认为是两个知识点,就不继续展开说了。 ?

1.8K7 0

一行代码如何隐藏 Linux 进程？

作者 | dog250 原文 | https://blog.csdn.net/dog250/article/details/108032383 总有朋友问隐藏Linux进程的方法，我说你想隐藏到什么程度...网上通篇论述的无外乎 hook 掉 procfs 或者类似的用户态方案，也都难免长篇大论，我说，这些场面都太大了，太复杂了。对于希望马上看到效果的而言，看到这么一堆复杂的东西，大概率望而却步。...本文介绍一种将Linux进程小隐于用户的非常规方法，仅仅一行代码：修改掉进程的pid即可。注意是小隐，所以，不值得反制，逗一下高级会议工程师搞个恶作剧玩玩得了。...是不是比各种hook法简单多了，所谓的动数据而不要动代码！...是不是比各种 hook 法简单多了，所谓的动数据而不要动代码！简单的说一下原理： task被创建的时候，根据其pid注册procfs目录结构。

2.3K4 0

您找到你想要的搜索结果了吗？

是的

没有找到

Linux 遭入侵，挖矿进程被隐藏排查记录

cpu使用率基本跑满（用户态），没有发现可疑的进程，初步怀疑可能是进程在哪里隐藏了执行命令ps -aux --sort=-pcpu|head -10 嗯哼，藏得够深的，可还是被揪出来啦 ? ?...这个eta可能是起的一个守护进程，用于唤起上面圈起来的python进程，这个脚本的用途是，链接远程服务"http://g.upxmr.com:999/version.txt",并下载写入到本地隐藏文件...干掉可疑程序“ata”进程 [root@dtdream-common-prod-nginx-03 ~]# kill -9 70497 再次查看发现cpu使用率降下来了，挖矿程序也没启动了。 ? ?

6.6K3 0

LyScript 实现Hook隐藏调试器

插件集成的内置API函数可灵活的实现绕过各类反调试保护机制，前段时间发布的那一篇文章并没有详细讲解各类反调试机制的绕过措施，本次将补充这方面的知识点，运用LyScript实现绕过大多数通用调试机制，实现隐藏调试器的目的

9272 0

LyScript 实现Hook隐藏调试器

插件集成的内置API函数可灵活的实现绕过各类反调试保护机制，前段时间发布的那一篇文章并没有详细讲解各类反调试机制的绕过措施，本次将补充这方面的知识点，运用LyScript实现绕过大多数通用调试机制，实现隐藏调试器的目的

4361 0

Linux Hook 笔记

相信很多人对"Hook"都不会陌生,其中文翻译为"钩子”.在编程中, 钩子表示一个可以允许编程者插入自定义程序的地方,通常是打包好的程序中提供的接口....通过Hook,我们可以暂停系统调用,或者通过改变系统调用的参数来改变正常的输出结果, 甚至可以中止一个当前运行中的进程并且将控制权转移到自己手上....$hello表示字符串"Hello"的地址; 32位Linux系统通过0x80中断来进行系统调用....更多关于32位和64位汇编指令的区别可以参考stack overflow的总结, 因为我当前环境是64位Linux,所以下文的操作都以64位系统为例....参考资料 playing with ptrace part I playing with ptrace part II 安卓动态调试之Hook

2.7K6 0

进程管理器中隐藏进程

之前测试过在进程管理器中隐藏进程的方法，现把代码公开： #define _CRT_SECURE_NO_WARNINGS #include #include #...{ case DLL_PROCESS_ATTACH: StartHook(); break; } return TRUE; } 将其注入到进程管理器进程中...，即可隐藏指定进程，当然在tasklist中依旧存在，win10 x86测试成功。

9263 0

安全研究 | Linux 遭入侵，挖矿进程被隐藏案例分析

本文作者：Fooying、zhenyiguo、murphyzhang 一、背景云鼎实验室曾分析不少入侵挖矿案例，研究发现入侵挖矿行为都比较粗暴简单，通过 top 等命令可以直接看到恶意进程，挖矿进程不会被刻意隐藏...；而现在，我们发现黑客开始不断使用一些隐藏手段去隐藏挖矿进程而使它获得更久存活，今天分析的内容是我们过去一个月内捕获的一起入侵挖矿事件。...通过 find 命令查找入侵时间范围内变更的文件，对变更文件的排查，同时对相关文件进行分析，基本可以确认黑客使用的进程隐藏手法。 ? ?...在变更文件里可以看到一些挖矿程序，同时 /etc/ld.so.preload 文件的变更需要引起注意，这里涉及到 Linux 动态链接库预加载机制，是一种常用的进程隐藏方法，而 top 等命令都是受这个机制影响的...三、样本分析通过对样本逆向分析，发现样本 libjdk.so 主要是 Hook 了 readdir 和 readdir64 两个函数： ?

3.1K8 0

使用APIHOOK实现进程隐藏

大致要求就是要实现自启动和自我隐藏。我使用的都是些简单的技术，只是实现自我隐藏稍微让我花费了点时间写算法。其实这个算法也很简单，就是大学时候写的从一个单向链表中删除一个元素。...NTSTATUS WINAPI Hook_NtQuerySystemInformation( SYSTEM_INFORMATION_CLASS SystemInformationClass,...); // 获取调用模块的名称 WCHAR* pFileName= NULL; pFileName = PathFindFileName(FilaPath); // 这是计算进程名在结构体中的偏移...PCHAR pchNameAddr = NULL; // 过滤第一个进程system idle。...这个进程在这个进程信息结构体中没有名字 if( FALSE !

9852 1

CC++ 进程隐藏&加载寄生&僵尸进程

众所周知，windows下可执行文件必须符合一定的格式要求，微软官方称之为PE文件（关于PE文件的详细介绍这里就不赘述了，google一下可以找到大把）；用户在界面双击exe时，有个叫做explorer的进程会监测并接受到这个事件...然后根据注册表中的信息取得文件名，再以Explorer.exe这个文件名调用CreateProcess函数去运行用户双击的exe；PC中用户一般都是这样运行exe的，所以很多用户态的exe都是exlporer的子进程...分配内存　　既然是运行，肯定是需要放在内存的，所以首先要开辟内存空间，才能把exe从磁盘加载进来；以32位为例，由于每个进程都有自己的4GB虚拟空间，所以还涉及到新生成页表、填充CR3等琐碎的细节工作...//将内存中的exe数据映射到peloader进程内存中，避免重新生成一个进程，这是隐藏exe的方式之一 if (FALSE == MapFile(pFileBuff, chBaseAddress...，然后运行exe的，所以exe的代码和数据其实都在loader的空间，并未单独生成一个进程，所以任务管理器、process hacker是都查不到的！

6112 0

Linux Hook技术实践

LInux Hook技术实践什么是hook 简单的说就是别人本来是执行libA.so里面的函数的，结果现在被偷偷换成了执行你的libB.so里面的代码，是一种替换。...为什么hook 恶意代码注入调用常用库函数时打log 改变常用库函数的行为，个性化怎么hook 这个东西在win里面有现成的api，但是在linux里面却要主动修改ELF文件，或者修改动态库链接路径...所以这里提供一种简单的方法来hook 下面直接demo吧 /*myselect.c*/ #define _GNU_SOURCE #include #include <stdio.h...举个例子：某些系统上select的实现可能与众不同，在没有fd就绪时，并不阻塞，而是忙等，这时便可以通过hook技术，在select中插入usleep，达到释放cpu的作用。

1.2K1 0

x64下进程保护HOOK

x64(32)下的进程保护回调....一丶进程保护线程保护 1.简介以及原理以前我们讲过.SSDT 可以做很多事情.比如可以防止进程被结束其实到了x64下.你也可以HOOK SSDT.只不过你需要过一下PatchGuard 但是在你过不了...DbgPrint("1111\r\n"); return STATUS_SUCCESS; } PVOID g_ObjHandle; VOID InitHook() { //进行HOOK...//为钩子结构体赋值 oper.ObjectType = PsProcessType; //进程操作的类型.当进程操作回来....1.3注意的问题编写代码的时候会发生蓝屏.原因是你设置前指针后.后指针需要设置为NULL 因为如果是进程保护的话. 当创建进程的时候则会遍历对象数组.依次调用.

1.5K2 0

暴力搜索内存进程对象反隐藏进程

我们前面说过几种隐藏进程的方法：遍历进程活动链表（ActiveProcessLinks）遍历PspCidTable表检测隐藏进程但还是不能防止别人通过各种方法来隐藏进程，所以下面来介绍一种通过暴力搜索内存枚举进程的方法...一个进程要运行，必然会加载到内存中。基于这个事实，隐藏进程要在目标机运行，在内存中一定会存在对应的EPROCESS结构体。...基于系统内存搜索的进程监测技术利用EPROCESS结构体特征找到EPROCESS地址指针进而输出进程信息，可以有效地对进程进行全面的监测。那我们应该搜索进程的什么结构？...进程的PEB（PEB(Process Environment Block)——进程环境块）。主要原因是PEB地址的高4位是相同的。...，如果是非结束输出进程信息。

1.6K2 0

驱动开发：DKOM 实现进程隐藏

DKOM 就是直接内核对象操作技术，我们所有的操作都会被系统记录在内存中，而驱动进程隐藏的做旧就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表，要实现进程的隐藏我们只需要将某个进程中的信息...，在系统EPROCESS链表中摘除即可实现进程隐藏。...DKOM 隐藏进程的本质是操作EPROCESS结构体，EPROCESS结构体中包含了系统中的所有进程相关信息，还有很多指向其他结构的指针，首先我们可以通过WinDBG在内核调试模式下输入dt_eprocess...ActiveProcessLinks 该指针把每个进程的EPROCESS结构体连接成了双向链表，我们可以使用 ZwQuerySystemInformation 这个函数来遍历出所有的进程信息，要实现进程的隐藏...，只需要将某个进程的EPROCESS从结构体中摘除，那么通过ZwQuerySystemInformation函数就无法遍历出被摘链的进程了，从而实现了进程的隐藏。

4482 0

驱动开发：DKOM 实现进程隐藏

DKOM 就是直接内核对象操作技术，我们所有的操作都会被系统记录在内存中，而驱动进程隐藏的做旧就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表，要实现进程的隐藏我们只需要将某个进程中的信息...，在系统EPROCESS链表中摘除即可实现进程隐藏。...DKOM 隐藏进程的本质是操作EPROCESS结构体，EPROCESS结构体中包含了系统中的所有进程相关信息，还有很多指向其他结构的指针，首先我们可以通过WinDBG在内核调试模式下输入dt_eprocess...要实现进程的隐藏我们需要关注结构中的 ActiveProcessLinks 该指针把每个进程的EPROCESS结构体连接成了双向链表，我们可以使用 ZwQuerySystemInformation 这个函数来遍历出所有的进程信息...，要实现进程的隐藏，只需要将某个进程的EPROCESS从结构体中摘除，那么通过ZwQuerySystemInformation函数就无法遍历出被摘链的进程了，从而实现了进程的隐藏。

5511 0

调用NtCreateUserProcess创建进程绕过杀软hook

如果发生这种情况，则有可能正在访问的内存只是描述进程的结构的相对偏移量，而不是实际的内存地址，初始化ProcessParameters的代码如下 RtlCreateProcessParametersEx...因为我们是在堆里面分配的空间，需要用RtlFreeHeap释放堆空间，使用RtlDestroyProcessParameters()释放存储在RTL_USER_PROCESS_PARAMETERS结构中的进程参数...x64dbg的ntdll.h文件，链接如下：https://github.com/x64dbg/TitanEngine/blob/x64dbg/TitanEngine/ntdll.h 实现效果如下父进程欺骗...我们在使用CreateProcess创建进程的时候能通过设置特定的参数来达到欺骗的效果，在NtCreateUserProcess里面也同样能够做到这里我们首先看一下之前我们生成的进程，可以看到父进程为...explorer 添加代码即可伪造父进程为explorer

1.8K2 0

linux 隐藏权限

隐藏权限的介绍有时候你发现即时使用的是root用户也不能修改某个文件，大部分原因是因为使用过chattr命令锁定了该文件，这个命令的作用很大，通过chattr可以提高系统的安全性，但是这个命令并不适合所有的目录...与我们前面看到的chmod这些命令修改权限不同的是chattr修改的是更底层的属性，这里面我们所提到的隐藏权限指的就是使用chattr来设置属性隐藏权限的设置和查看 chattr的用户与我们之前讲的chmod...，chow这些命令相似，都是直接对需要修改的文件进行操作就可以了 chattr命令：为文件设置隐藏权限命令选项 + 增加权限 - 删除权限 = 赋予什么权限，文件最终权限 A 文件或目录的atime不可被修改...lsattr命令: 查看文件隐藏权限通过案例学习命令用法：给file1文件添加AaiSd权限 [root@zutuanxue test]# chattr +AaiSd file1 查看文件file1...隐藏权限 [root@zutuanxue test]# lsattr file1 --S-iadA---------- file1 设置删除file1文件隐藏权限 - 可以使用-号 - 可以使用

3.7K2 0

调用NtCreateUserProcess创建进程绕过杀软hook

如果发生这种情况，则有可能正在访问的内存只是描述进程的结构的相对偏移量，而不是实际的内存地址，初始化ProcessParameters的代码如下 RtlCreateProcessParametersEx...因为我们是在堆里面分配的空间，需要用RtlFreeHeap释放堆空间，使用RtlDestroyProcessParameters()释放存储在RTL_USER_PROCESS_PARAMETERS结构中的进程参数...x64dbg的ntdll.h文件，链接如下：https://github.com/x64dbg/TitanEngine/blob/x64dbg/TitanEngine/ntdll.h 实现效果如下父进程欺骗...我们在使用CreateProcess创建进程的时候能通过设置特定的参数来达到欺骗的效果，在NtCreateUserProcess里面也同样能够做到这里我们首先看一下之前我们生成的进程，可以看到父进程为...explorer 添加代码即可伪造父进程为explorer

1.3K3 0

驱动开发：摘链DKOM进程隐藏

DKOM 即直接内核对象操作，我们所有的操作都会被系统记录在内存中，而驱动进程隐藏就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表，要实现进程的隐藏我们只需要将某个进程中的信息，在系统...EPROCESS链表中摘除即可实现进程隐藏。...+0x300 RundownProtect : _EX_RUNDOWN_REF +0x308 Flags2 : Uint4B在实现进程隐藏之前，需要通过代码的方式获取到当前系统中所有进程...GetProcessObjectByName("C32Asm.exe"); DriverObject->DriverUnload = UnDriver; return STATUS_SUCCESS;}得到句柄以后直接摘除进程的结构即可实现隐藏...PsGetProcessImageFileName(ep); if (_stricmp(pn, name) == 0) return ep; } } return NULL;}// 隐藏进程

4232 0

Linux 文件隐藏权限

文件的隐藏权限除了文件的读写,执行权限外,linux还有一种隐藏权限,设置隐藏权限可以防止一些其他用户的误操作或者恶意操作,当我们配置了nginx的放跨站攻击或其他安全措施后,相应的会在项目的根目录下生成一个隐藏文件....user.ini,当删除整个项目时会阻止操作完成.我们使用ls命令并使用chmod chown等命令设置了文件权限后会发现还是无法删除.这就是因为这个文件有隐藏的权限查看文件的隐藏权限类型命令:...3 a：即Append Only，系统只允许在这个文件之后追加数据，不允许任何进程覆盖或截断这个文件。如果目录具有这个属性，系统将只允许在这个目录下建立和修改文件，而不允许删除任何文件。...如果目录具有这个属性，那么任何的进程只能修改目录之下的文件，不允许建立和删除文件。 9 s：彻底删除文件，不可恢复，因为是从磁盘上删除，然后用0填充文件所在区域。...chattr -i //减去文件的 i 隐藏数字属性,然后即可使用rm 正常删除 chattr +i //添加隐藏权限

12K4 1

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭