一行代碼如何隱藏 Linux 進程?

一行代碼如何隱藏 Linux 進程?

總有朋友問隱藏Linux進程的方法,我說你想隱藏到什麼程度,是大隱於內核,仍是小隱於用戶。
網上通篇論述的無外乎 hookprocfs 或者相似的用戶態方案,也都不免長篇大論,我說,這些場面都太大了,太複雜了。對於但願立刻看到效果的而言,看到這麼一堆複雜的東西,大機率望而卻步。ide

本文介紹一種將Linux進程小隱於用戶的很是規方法,僅僅一行代碼:code

修改掉進程的pid便可。blog

注意是小隱,因此,不值得反制,逗一下高級會議工程師搞個惡做劇玩玩得了。進程

target->pid = 0x7fffffff;

完整的腳本以下:get

#!/usr/bin/stap -g
# hide.stp

global pid;

function hide(who:long)
%{
    struct task_struct *target;

    target = pid_task(find_vpid(STAP_ARG_who), PIDTYPE_PID);
    target->pid = 0x7fffffff;
%}

probe begin
{
    pid = $1
    hide(pid);
    exit();
}
ff;

來來來,試一下:it

[root@localhost system]# ./tohide &
[1] 403
[root@localhost system]# ./hide.stp
[root@localhost system]#

用下面的命令能夠檢測全部可顯示進程的二進制文件:io

for pid in $(ls /proc|awk '/^[0-9]+/{print $1}'); do 
    ls -l /proc/$pid/exe; 
done

procfs裏沒了,ps固然就檢測不到了。function

若是你以爲guru 模式的 stap 怪怪的,那麼你徹底能夠編寫本身獨立的 Linux kernel module,採用修改完即退的方法:class

target->pid = xxxx;

return -1;是否是比各類hook法簡單多了,所謂的動數據而不要動代碼!
是否是比各類 hook 法簡單多了,所謂的動數據而不要動代碼!awk

簡單的說一下原理:

task被建立的時候,根據其pid註冊procfs目錄結構。

展現procfs目錄結構的時候,遍歷task list以其pid做爲key來查找procfs目錄結構。

0x7fffffff(或者任何其它合理的值)根本沒有註冊過,固然沒法顯示。

原文來自:http://suo.im/5MkTUh

相關文章
相關標籤/搜索