總有朋友問隱藏Linux行程的方法,我說你想隱藏到什么程度,是大隱于內核,還是小隱于用戶,
網上通篇論述的無外乎 hook 掉 procfs 或者類似的用戶態方案,也都難免長篇大論,我說,這些場面都太大了,太復雜了,對于希望馬上看到效果的而言,看到這么一堆復雜的東西,大概率望而卻步,
本文介紹一種將Linux行程小隱于用戶的非常規方法,僅僅一行代碼:
修改掉行程的pid即可,
注意是小隱,所以,不值得反制,逗一下高級會議工程師搞個惡作劇玩玩得了,
target->pid = 0x7fffffff;
完整的腳本如下:
#!/usr/bin/stap -g# hide.stpglobal pid;function hide(who:long)%{ struct task_struct *target; target = pid_task(find_vpid(STAP_ARG_who), PIDTYPE_PID); target->pid = 0x7fffffff;%}probe begin{ pid = $1 hide(pid); exit();}ff;
來來來,試一下:
[root@localhost system]# ./tohide &[1] 403[root@localhost system]# ./hide.stp[root@localhost system]#
用下面的命令可以檢測所有可顯示行程的二進制檔案:
for pid in $(ls /proc|awk '/^[0-9]+/{print $1}'); do ls -l /proc/$pid/exe; done
procfs里沒了,ps當然就檢測不到了,
如果你覺得 guru 模式的 stap 怪怪的,那么你完全可以撰寫自己獨立的 Linux kernel module,采用修改完即退的方法:
target->pid = xxxx;return -1;是不是比各種hook法簡單多了,所謂的動資料而不要動代碼!
是不是比各種 hook 法簡單多了,所謂的動資料而不要動代碼!
簡單的說一下原理:
- task被創建的時候,根據其pid注冊procfs目錄結構,
- 展示procfs目錄結構的時候,遍歷task list以其pid作為key來查找procfs目錄結構,
- 0x7fffffff(或者任何其它合理的值)根本沒有注冊過,當然無法顯示,
以上就是良許教程網為各位朋友分享的一行代碼如何隱藏 Linux 行程,
本文由博客一文多發平臺 OpenWrite 發布!
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/253792.html
標籤:其他
下一篇:STM32 中斷詳解