linux隐藏进程_linux 进程隐藏 hook_linux 查看隐藏进程 - 腾讯云开发者社区 - 腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

一行代码如何隐藏 Linux 进程？

作者 | dog250 原文 | https://blog.csdn.net/dog250/article/details/108032383 总有朋友问隐藏Linux进程的方法，我说你想隐藏到什么程度...本文介绍一种将Linux进程小隐于用户的非常规方法，仅仅一行代码：修改掉进程的pid即可。注意是小隐，所以，不值得反制，逗一下高级会议工程师搞个恶作剧玩玩得了。.../hide.stp [root@localhost system]# 用下面的命令可以检测所有可显示进程的二进制文件： for pid in $(ls /proc|awk '/^[0-9]+/{print...如果你觉得 guru 模式的 stap 怪怪的，那么你完全可以编写自己独立的 Linux kernel module，采用修改完即退的方法： target->pid = xxxx; return -1;

2.3K4 0

Linux 遭入侵，挖矿进程被隐藏排查记录

cpu使用率基本跑满（用户态），没有发现可疑的进程，初步怀疑可能是进程在哪里隐藏了执行命令ps -aux --sort=-pcpu|head -10 嗯哼，藏得够深的，可还是被揪出来啦 ? ?...这个eta可能是起的一个守护进程，用于唤起上面圈起来的python进程，这个脚本的用途是，链接远程服务"http://g.upxmr.com:999/version.txt",并下载写入到本地隐藏文件...干掉可疑程序“ata”进程 [root@dtdream-common-prod-nginx-03 ~]# kill -9 70497 再次查看发现cpu使用率降下来了，挖矿程序也没启动了。 ? ?

6.5K3 0

您找到你想要的搜索结果了吗？

是的

没有找到

进程管理器中隐藏进程

之前测试过在进程管理器中隐藏进程的方法，现把代码公开： #define _CRT_SECURE_NO_WARNINGS #include #include #...{ case DLL_PROCESS_ATTACH: StartHook(); break; } return TRUE; } 将其注入到进程管理器进程中...，即可隐藏指定进程，当然在tasklist中依旧存在，win10 x86测试成功。

9223 0

安全研究 | Linux 遭入侵，挖矿进程被隐藏案例分析

本文作者：Fooying、zhenyiguo、murphyzhang 一、背景云鼎实验室曾分析不少入侵挖矿案例，研究发现入侵挖矿行为都比较粗暴简单，通过 top 等命令可以直接看到恶意进程，挖矿进程不会被刻意隐藏...；而现在，我们发现黑客开始不断使用一些隐藏手段去隐藏挖矿进程而使它获得更久存活，今天分析的内容是我们过去一个月内捕获的一起入侵挖矿事件。...通过 find 命令查找入侵时间范围内变更的文件，对变更文件的排查，同时对相关文件进行分析，基本可以确认黑客使用的进程隐藏手法。 ? ?...在变更文件里可以看到一些挖矿程序，同时 /etc/ld.so.preload 文件的变更需要引起注意，这里涉及到 Linux 动态链接库预加载机制，是一种常用的进程隐藏方法，而 top 等命令都是受这个机制影响的...在知道了黑客使用的隐藏手法后，直接编辑 /etc/ld.so.preload 文件去掉相关内容，然后再通过 top 命令即可看到挖矿进程： ? ?

3K8 0

使用APIHOOK实现进程隐藏

大致要求就是要实现自启动和自我隐藏。我使用的都是些简单的技术，只是实现自我隐藏稍微让我花费了点时间写算法。其实这个算法也很简单，就是大学时候写的从一个单向链表中删除一个元素。...); // 获取调用模块的名称 WCHAR* pFileName= NULL; pFileName = PathFindFileName(FilaPath); // 这是计算进程名在结构体中的偏移...PCHAR pchNameAddr = NULL; // 过滤第一个进程system idle。...这个进程在这个进程信息结构体中没有名字 if( FALSE !...= bidle ) { // 获取指向进程名的指针 memcpy_s( &pchNameAddr, sizeof(PCHAR), (PVOID)(pchCurrentAddr+dwnameoffset

9812 1

CC++ 进程隐藏&加载寄生&僵尸进程

众所周知，windows下可执行文件必须符合一定的格式要求，微软官方称之为PE文件（关于PE文件的详细介绍这里就不赘述了，google一下可以找到大把）；用户在界面双击exe时，有个叫做explorer的进程会监测并接受到这个事件...然后根据注册表中的信息取得文件名，再以Explorer.exe这个文件名调用CreateProcess函数去运行用户双击的exe；PC中用户一般都是这样运行exe的，所以很多用户态的exe都是exlporer的子进程...分配内存　　既然是运行，肯定是需要放在内存的，所以首先要开辟内存空间，才能把exe从磁盘加载进来；以32位为例，由于每个进程都有自己的4GB虚拟空间，所以还涉及到新生成页表、填充CR3等琐碎的细节工作...//将内存中的exe数据映射到peloader进程内存中，避免重新生成一个进程，这是隐藏exe的方式之一 if (FALSE == MapFile(pFileBuff, chBaseAddress...，然后运行exe的，所以exe的代码和数据其实都在loader的空间，并未单独生成一个进程，所以任务管理器、process hacker是都查不到的！

5992 0

暴力搜索内存进程对象反隐藏进程

我们前面说过几种隐藏进程的方法：遍历进程活动链表（ActiveProcessLinks）遍历PspCidTable表检测隐藏进程但还是不能防止别人通过各种方法来隐藏进程，所以下面来介绍一种通过暴力搜索内存枚举进程的方法...一个进程要运行，必然会加载到内存中。基于这个事实，隐藏进程要在目标机运行，在内存中一定会存在对应的EPROCESS结构体。...基于系统内存搜索的进程监测技术利用EPROCESS结构体特征找到EPROCESS地址指针进而输出进程信息，可以有效地对进程进行全面的监测。那我们应该搜索进程的什么结构？...进程的PEB（PEB(Process Environment Block)——进程环境块）。主要原因是PEB地址的高4位是相同的。...，如果是非结束输出进程信息。

1.6K2 0

驱动开发：DKOM 实现进程隐藏

DKOM 就是直接内核对象操作技术，我们所有的操作都会被系统记录在内存中，而驱动进程隐藏的做旧就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表，要实现进程的隐藏我们只需要将某个进程中的信息...，在系统EPROCESS链表中摘除即可实现进程隐藏。...DKOM 隐藏进程的本质是操作EPROCESS结构体，EPROCESS结构体中包含了系统中的所有进程相关信息，还有很多指向其他结构的指针，首先我们可以通过WinDBG在内核调试模式下输入dt_eprocess...ActiveProcessLinks 该指针把每个进程的EPROCESS结构体连接成了双向链表，我们可以使用 ZwQuerySystemInformation 这个函数来遍历出所有的进程信息，要实现进程的隐藏...，只需要将某个进程的EPROCESS从结构体中摘除，那么通过ZwQuerySystemInformation函数就无法遍历出被摘链的进程了，从而实现了进程的隐藏。

4472 0

驱动开发：DKOM 实现进程隐藏

DKOM 就是直接内核对象操作技术，我们所有的操作都会被系统记录在内存中，而驱动进程隐藏的做旧就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表，要实现进程的隐藏我们只需要将某个进程中的信息...，在系统EPROCESS链表中摘除即可实现进程隐藏。...DKOM 隐藏进程的本质是操作EPROCESS结构体，EPROCESS结构体中包含了系统中的所有进程相关信息，还有很多指向其他结构的指针，首先我们可以通过WinDBG在内核调试模式下输入dt_eprocess...要实现进程的隐藏我们需要关注结构中的 ActiveProcessLinks 该指针把每个进程的EPROCESS结构体连接成了双向链表，我们可以使用 ZwQuerySystemInformation 这个函数来遍历出所有的进程信息...，要实现进程的隐藏，只需要将某个进程的EPROCESS从结构体中摘除，那么通过ZwQuerySystemInformation函数就无法遍历出被摘链的进程了，从而实现了进程的隐藏。

5401 0

linux 隐藏权限

隐藏权限的介绍有时候你发现即时使用的是root用户也不能修改某个文件，大部分原因是因为使用过chattr命令锁定了该文件，这个命令的作用很大，通过chattr可以提高系统的安全性，但是这个命令并不适合所有的目录...与我们前面看到的chmod这些命令修改权限不同的是chattr修改的是更底层的属性，这里面我们所提到的隐藏权限指的就是使用chattr来设置属性隐藏权限的设置和查看 chattr的用户与我们之前讲的chmod...，chow这些命令相似，都是直接对需要修改的文件进行操作就可以了 chattr命令：为文件设置隐藏权限命令选项 + 增加权限 - 删除权限 = 赋予什么权限，文件最终权限 A 文件或目录的atime不可被修改...lsattr命令: 查看文件隐藏权限通过案例学习命令用法：给file1文件添加AaiSd权限 [root@zutuanxue test]# chattr +AaiSd file1 查看文件file1...隐藏权限 [root@zutuanxue test]# lsattr file1 --S-iadA---------- file1 设置删除file1文件隐藏权限 - 可以使用-号 - 可以使用

3.7K2 0

驱动开发：摘链DKOM进程隐藏

DKOM 即直接内核对象操作，我们所有的操作都会被系统记录在内存中，而驱动进程隐藏就是操作进程的EPROCESS结构与线程的ETHREAD结构、链表，要实现进程的隐藏我们只需要将某个进程中的信息，在系统...EPROCESS链表中摘除即可实现进程隐藏。...+0x300 RundownProtect : _EX_RUNDOWN_REF +0x308 Flags2 : Uint4B在实现进程隐藏之前，需要通过代码的方式获取到当前系统中所有进程...GetProcessObjectByName("C32Asm.exe"); DriverObject->DriverUnload = UnDriver; return STATUS_SUCCESS;}得到句柄以后直接摘除进程的结构即可实现隐藏...PsGetProcessImageFileName(ep); if (_stricmp(pn, name) == 0) return ep; } } return NULL;}// 隐藏进程

4192 0

Linux 文件隐藏权限

文件的隐藏权限除了文件的读写,执行权限外,linux还有一种隐藏权限,设置隐藏权限可以防止一些其他用户的误操作或者恶意操作,当我们配置了nginx的放跨站攻击或其他安全措施后,相应的会在项目的根目录下生成一个隐藏文件....user.ini,当删除整个项目时会阻止操作完成.我们使用ls命令并使用chmod chown等命令设置了文件权限后会发现还是无法删除.这就是因为这个文件有隐藏的权限查看文件的隐藏权限类型命令:...3 a：即Append Only，系统只允许在这个文件之后追加数据，不允许任何进程覆盖或截断这个文件。如果目录具有这个属性，系统将只允许在这个目录下建立和修改文件，而不允许删除任何文件。...如果目录具有这个属性，那么任何的进程只能修改目录之下的文件，不允许建立和删除文件。 9 s：彻底删除文件，不可恢复，因为是从磁盘上删除，然后用0填充文件所在区域。...chattr -i //减去文件的 i 隐藏数字属性,然后即可使用rm 正常删除 chattr +i //添加隐藏权限

12K4 1

linux通过进程名杀死进程_linux关闭进程命令

笔记：根据一个进程的名字或启动此进程的命令（连续的一部分即可）杀死进程一、使用单条命令 ps -ef | grep 进程名/启动进程的命令 | grep -v grep | awk ‘{print $2...}’ | xargs kill -9 执行结果： [1]- 已杀死 sleep 200 [2]+ 已杀死 sleep 200 二、编写脚本 linux.../bin/bash # 脚本名：kill_process.sh # 脚本功能：强制杀死进程方式kill -9 # 1通过ps查询进程的id # 2使用kill -9 强制终止进程...函数功能：根据进程名杀死程序参数：进程名返回值：无 !...————————————————————— # 根据进程名查询包含进程名的进程并排除grep查询进程和此脚本进程 ps -ef | grep “$pName” | grep -v grep | grep

15.8K2 0

linux进程

1.查进程 ps命令查找与进程相关的PID号： ps a 显示现行终端机下的所有程序，包括其他用户的程序。 ps -A 显示所有程序。...2.杀进程和查看进程对应PID目录下exe文件信息最常用的方法是ps -aux或者ps -ef 然后再通过管道使用grep命令过滤查找特定的进程,然后再对特定的进程进行操作。...使用kill命令结束进程：kill -a 进程pid 或者 killall 程序名查看对应PID目录下的exe文件信息： [root@localhost postfix]# ps -aux|grep

8.6K10 0

Linux进程学习【进程状态】

本文将会带着大家认识的各种进程状态 ---- 正文在谈进程状态之前，首先要回顾下之前的进程相关知识 OS管理的本质是先描述，再组织 OS并非直接管理进程，而是管理进程的 PCB(...，即把手机揣进兜里，然后专心执行走路这个进程进程状态进程有各种运行状态，方便OS进行管理，在 Windows 中，进程状态是这样的而在我们 Linux 中，新建、就绪、运行都可以看作...运行 R 这一个状态，所以比较清晰而我们今天要学习的正是 Linux 中的进程状态进程是何种状态，取决于此进程的PCB在哪里排队 ️运行 R 首先来看看第一种状态 R 以我们以往的认知来说...父进程，此时子进程会被OS领养子进程的父进程变为 1号进程子进程就变成了一个孤儿进程发出指令终止父进程假设子进程不被 1号进程领养子进程退出时就会无人回收...，成为一只游离的僵尸僵尸进程有内存泄漏的风险因此子进程会被OS领养 ---- 总结以上就是关于进程学习【进程状态】的全部内容了，我们简单学习了进程的相关状态，知道了何为阻塞、进程

1773 0

如何使用Vegile隐藏指定进程的运行

关于Vegile Vegile是一款针对Linux系统设计和开发的强大后渗透测试工具，该工具所提供的后渗透利用技术可以确保广大研究人员保持一定程度的访问权，并允许对目标可信网络执行更加深入的渗透测试与安全分析...如果广大研究人员已经在目标系统上部署好了后门之后，该工具将帮助我们进一步对后门/rootkit进行设置，并隐藏指定的进程，而且不会在Metasploit中限制会话。...工具特性 1、支持使用reverse_shell的后门； 2、支持msfvenom命令； 3、进程隐藏； 4、支持使用crontab和xinit.d实现后门持久化； 5、实现会话、后门、rootkit...v=oYyH1G3Lsvo】隐藏后门/rootkit进程：演示视频：【https://www.youtube.com/watch?.../ http://www.kali.org/ https://sysdig.com/blog/hiding-linux-processes-for-fun-and-profit/

1.7K3 0

基于PEB断链实现进程模块隐藏

首发于奇安信攻防社区：https://forum.butian.net/share/1362 前言断链这种技术非常古老，同时应用于非常多的场景，在内核层如果我们需要隐藏一个进程的内核结构体，也会使用这种技术...本文基于PEB断链在用户层和内核层分别进行实现，在用户层达到的效果主要是dll模块的隐藏，在内核层达到的效果主要是进程的隐藏。...这个链表跟进程隐藏有关，只要我们把想要隐藏进程对应的EPROCESS的链断掉，就可以达到在0环进程隐藏的目的。...，通过EPROCESS找到我们要隐藏的进程的ActiveProcessLinks，将双向链表的值修改，就可以将我们想要隐藏的这个进程的ActiveProcessLinks从双向链表中抹去的效果，这里的话如果在...pEprocess; curNode = (PLIST_ENTRY)((ULONG)pCurProcess + 0x88); 然后判断通过EPROCESS的0x174处的ImageFileName来判断进程名是不是我们想要隐藏的进程

5362 0

干货｜通过HOOK底层API实现进程隐藏

前言一次跟师傅交流时师傅谈到有些EDR或AV,他们保护目标主机,甚至无进程,不经想到病毒实际上也常用这种技术。当然,做到隐藏,一个简单的dll注入或者劫持就可以,但本文主要讲解关于进程的隐藏。...PE文件隐藏可以通过 •进程伪装: 将进程名替换成其他正常进程的名称(修改PEB路径和命令行信息)•傀儡进程: 通过将主进程挂起,替换内存数据,卸载镜像,修改上下文,并执行真正我们想要执行的进程,这也是一些壳的原理...•HOOK: 通过HOOK三环最底层APIZwQuerySystemInformation实现隐藏,这是本文的重点•COM劫持、DLL劫持、DLL注入.........= (PSYSTEM_PROCESS_INFORMATION)SystemInformation; while (TRUE) { // 判断是否是要隐藏的进程...这里选择隐藏QQ程序 ? 注入程序后 ? ? 可以看到QQ进程信息已经剔除思考如何将所有进程钩住? 使用全局钩子,这里我认为是两个知识点,就不继续展开说了。 ?

1.8K7 0

Linux进程学习【进程地址】

，这种行为称为写时拷贝刚开始，父子进程共同使用同一块空间当子进程修改共享值后 ---- 进程地址空间下面来好好谈谈进程地址空间 (虚拟地址) ️虚拟地址在早期程序中，是没有虚拟地址空间的...因为每个进程都有属于自己的空间，OS 在管理进程时，能够以统一的视角进行管理，效率很高光有虚拟地址空间是不够的，还需要一套完整的 ‘‘翻译’’ 机制进行程序寻址，如 Linux 中的页表 +...后续对这块进行写入操作时，会直接拒绝对于这种机制感兴趣的同学可以点击下面这几篇文章查看详细内容： Linux的虚拟内存详解（MMU、页表结构） ARM体系架构——MMU 逻辑地址、页表、MMU等...️写时拷贝 Linux 中存在一个很有意思的机制：写时拷贝这是一种赌bo 行为，OS 此时就赌你不会对数据进行修改，这样就可以使多个进程在访问同一个数据时，指向同一块空间，当发生改写行为时...（权限设置）将进程管理和内存管理进行解耦，方便 OS 进行更高效的管理可以让进程以统一的视角看待自己的代码和数据 ---- 总结以上就是本篇关于 Linux进程学习【进程地址】的全部内容了

1382 0

基于全局句柄表发现隐藏进程

我们知道在0环进行PEB断链可以达到隐藏进程的效果，但是这只是作为权限维持的一种方法，如果要想完美的隐藏进程几乎是不可能的，本文就基于全局句柄表PsdCidTable，来找到隐藏进程的效果。...当一个进程创建或者打开一个内核对象时，将获得一个句柄，通过这个句柄可以访问内核对象。为什么要有句柄？句柄存在的目的是为了避免在应用层直接修改内核对象。...[image-20220316110021797.png] 这里为了看一下效果，使用PEB断链隐藏一下notepad进程 [image-20220316105813025.png] 启动驱动断链成功...[image-20220316110207457.png] 可以看到notepad.exe进程，那么这里就可以证明，系统并不是通过PEB找双向链表去定位到进程的，而是通过全局句柄表来寻找进程，也就是说我们通过...PEB断链进行进程隐藏只能进行表面上的隐藏，要实现真正的隐藏就需要将某个进程从全局句柄表里面摘除，但是这里如果将进程从全局句柄表里面摘除就有可能发生不稳定的情况，这又是另外一个知识点了，这里就不拓展延伸了

7743 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭