一行代码教你如何隐藏Linux进程
总有朋友问隐藏Linux进程的方法,我说你想隐藏到什么程度,是大隐于内核,还是小隐于用户。网上通篇论述的无外乎 hook 掉 procfs 或者类似的用户态方案,也都难免长篇大论,我说,这些场面都太大了,太复杂了。对于希望马上看到效果的而言,看到这么一堆复杂的东西,大概率望而却步。
本文介绍一种将Linux进程小隐于用户的非常规方法,仅仅一行代码:
修改掉进程的pid即可。
注意是小隐,所以,不值得反制,逗一下高级会议工程师搞个恶作剧玩玩得了。
target-》pid = 0x7fffffff;
完整的脚本如下:
来来来,试一下:
用下面的命令可以检测所有可显示进程的二进制文件:
procfs里没了,ps当然就检测不到了。
如果你觉得guru 模式的 stap 怪怪的,那么你完全可以编写自己独立的 Linux kernel module,采用修改完即退的方法:
target-》pid = xxxx;
return -1;是不是比各种hook法简单多了,所谓的动数据而不要动代码!是不是比各种 hook 法简单多了,所谓的动数据而不要动代码!
简单的说一下原理:
task被创建的时候,根据其pid注册procfs目录结构。
展示procfs目录结构的时候,遍历task list以其pid作为key来查找procfs目录结构。
0x7fffffff(或者任何其它合理的值)根本没有注册过,当然无法显示。
责编AJX
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
Linux
+关注
关注
87文章
10992浏览量
206745 -
操作系统
+关注
关注
37文章
6290浏览量
121901 -
进程
+关注
关注
0文章
193浏览量
13876
发布评论请先 登录
相关推荐
一个多行的字符串如何一行一行的执行然后一行一行的显示出来啊
要做一个将hex文件转化成bin 文件的labview,结果发现不少按一行一行处理的,而是将所有字符串当成一行来处理的,就是假如有5行二十个
发表于 06-30 14:24
怎样按照我的一个excel模版,一行一行的把数据写入而且上一行的数据不会消失。
目前我做到。把数据一行一行输入,用添加表格到excel的控件,但是每一次写入,上一次的数据就没了。怎么样实时向excel填入数据,一行
发表于 12-21 11:52
下面是Linux 3.2 内核启动的代码,我想问下[ 0.000000]是什么意思,为什么每一行都会出现,可以去掉吗?
] AM335X ES1.0 (sgx neon ) 我想问下以上信息中的[ 0.000000] 是什么意思,每一行都会先打印这个,能不能屏蔽。谢谢!
发表于 05-15 02:23
Linux上对进程进行内存分析和内存泄漏定位
。(栈)5、采用mmap方式映射到虚拟地址空间中的内存段这是我的机器上,redis 进程的情况,第一行:从r-xp可知其权限为只读、可执行,该段内存地址对应于执行文件的代码段,程序的代码
发表于 07-09 08:15
请问怎样能实现在一行显示指定数量的字符后换到下一行?
使用multiedit后用了MULTIEDIT_SetWrapWord(hItem)这个只是整字换行请问怎样能实现在一行显示指定数量的字符后换到下一行?怎样换行
发表于 08-06 21:47
LINUX 进程源代码分析
LINUX 进程源代码分析
task_struct 数据结构表示进程的数据结构是struct task_struct。task_struct 结构是
发表于 02-09 15:13
•16次下载
LINUX进程源代码分析
近年发展起来的开放源码操作系统Linux因为其特有的开放源代码的发行方式,得到很大的发展。为开发人员了解操作系统提供了一个很好的平台,本文对Linux的进程部分源
发表于 04-03 22:49
•44次下载
免杀技术进程隐藏
目前的免杀技术,常规的进程执行很容易被受攻击方发现,为了尽可能的隐藏自己,在不利用驱动或者漏洞的情况下我们有用到的技术很少,这次我们就来讲一种可以在3环达到进程隐藏的方法,
工商网监
评论