丁香五月亚洲,日女人在线,太阳城色网,韩日AV在线秒放

  1. 云科研首頁
  2. 科研百科

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡直太溜了,快用起來(linux 隱藏進(jìn)程)

投稿用戶 ? ? 科研百科 ? 閱讀 453

某些時候程序員為了防止其他人不小心或者惡意破壞掉你運(yùn)行的程序,或者我們要做些“見不得光”的事情,就有隱藏進(jìn)程的需求,目的是讓小白或者初級運(yùn)維無法通過相關(guān)命令工具查找到你的程序,達(dá)到隱藏目的。前兩天正好項(xiàng)目上需要用到隱藏進(jìn)程的需求,所以分析了下個人覺得目前比較好的做法。

linux下查看進(jìn)程的方法

ps命令

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡直太溜了,快用起來(linux 隱藏進(jìn)程)程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡直太溜了,快用起來(linux 隱藏進(jìn)程)

top命令

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡直太溜了,快用起來(linux 隱藏進(jìn)程)

目前網(wǎng)上很多方法基本都是通過如下方式來達(dá)到進(jìn)程隱藏:

1.根據(jù)分組權(quán)限來實(shí)現(xiàn)不同用戶組查看不同的進(jìn)程權(quán)限。

2.修改內(nèi)核,將需要隱藏的進(jìn)程的進(jìn)程pid改為0(task->pid = 0),因?yàn)閜s,top命令不會顯示進(jìn)程id為0的進(jìn)程。

3.修改內(nèi)核,hook掉系統(tǒng)調(diào)用,在hook函數(shù)中修改邏輯判斷已達(dá)到隱藏進(jìn)程。

第一種如果追中人有管理員權(quán)限就沒有辦法隱藏了。第二三種需要懂內(nèi)核編程,有一定的技術(shù)門檻(實(shí)際上只要會點(diǎn)內(nèi)核還是很easy的),今天我們說下第四種辦法:在用戶態(tài)修改系統(tǒng)調(diào)用,從而隱藏進(jìn)程。

PS/TOP顯示進(jìn)程原理

strace命令是一個常用的代碼調(diào)試工具,它可以跟蹤到一個進(jìn)程產(chǎn)生的系統(tǒng)調(diào)用,包括參數(shù),返回值,執(zhí)行消耗的時間。因此對于調(diào)試程序出錯是非常有用的。這里不過多展示strace的調(diào)試用法,具體可以查看詳細(xì)的strace命令。

我們看下ps,top是如何顯示進(jìn)程信息的:

strace ps

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡直太溜了,快用起來(linux 隱藏進(jìn)程)

strace top

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡直太溜了,快用起來(linux 隱藏進(jìn)程)

通過strace命令可以看出 ps,top等查看進(jìn)程的信息都是通過調(diào)用 readdir 方法遍歷 /proc 目錄來獲取進(jìn)程信息。每個動態(tài)創(chuàng)建的進(jìn)程ID號下面詳細(xì)的記錄了關(guān)于該進(jìn)程的fd,mem,io,cpuset等進(jìn)程信息。

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡直太溜了,快用起來(linux 隱藏進(jìn)程)程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡直太溜了,快用起來(linux 隱藏進(jìn)程)

既然進(jìn)程信息是proc目錄下動態(tài)生成的,因此最顯而易見和最徹底的方法就是不讓proc下生成該進(jìn)程信息。通過查找代碼,定位到內(nèi)核通過fs/proc/base.c中的proc_pid_lookup查找進(jìn)程號,然后由proc_pid_instantiate來在proc下創(chuàng)建該進(jìn)程號相關(guān)的進(jìn)程信息。因此我們只需要在proc_pid_lookup中匹配要過濾的進(jìn)程名,然后直接返回就行了,如下:

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡直太溜了,快用起來(linux 隱藏進(jìn)程)

內(nèi)核proc創(chuàng)建pid進(jìn)程信息

這種辦法徹底不創(chuàng)建該進(jìn)程信息,但是要修改編譯內(nèi)核,實(shí)際上是不太可取的。而我們目的也只是隱藏,不必完全屏蔽進(jìn)程信息。因此,有沒有一種辦法在用戶態(tài)通過劫持系統(tǒng)調(diào)用而忽略掉我們的進(jìn)程呢?

本來想著如何自己實(shí)現(xiàn)一個hook系統(tǒng)調(diào)用,但是本著絕不重復(fù)造輪子的工匠精神,瓶子哥嘗試搜羅了下,還真有現(xiàn)成的,即通過劫持readdir系統(tǒng)調(diào)用實(shí)現(xiàn)ps,top無法查找到進(jìn)程而達(dá)到隱藏進(jìn)程。

我們先實(shí)戰(zhàn),在看其實(shí)現(xiàn)原理。

1 . 實(shí)現(xiàn):

1) git clone https://github.com/gianlucaborello/libprocesshider.git

2) cd libprocesshider/ && make

3) cp libprocesshider.so /usr/local/lib/

4) echo /usr/local/lib/libprocesshider.so >> /etc/ld.so.preload

這一步也可以用export LD_PRELOAD=/usr/local/lib/libprocesshider.so來代替。

執(zhí)行命令上述命令前,運(yùn)行mtop進(jìn)程,ps可以查看到mtop的進(jìn)程。

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡直太溜了,快用起來(linux 隱藏進(jìn)程)

執(zhí)行上述命令后,ps 查看,可以發(fā)現(xiàn)已經(jīng)找不到該進(jìn)程了,而且 top,ls /proc/下面也不能找到該進(jìn)程,完美達(dá)到隱藏進(jìn)程。

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡直太溜了,快用起來(linux 隱藏進(jìn)程)

2. 原理:

我們查看processhider.c源碼可以發(fā)現(xiàn),原理上就是重寫了readdir的系統(tǒng)調(diào)用,因?yàn)闊o論ps,top,ls 都會調(diào)用readdir。

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡直太溜了,快用起來(linux 隱藏進(jìn)程)

而思路就是利用 LD_PRELOAD 來實(shí)現(xiàn)系統(tǒng)函數(shù)的劫持,程序在執(zhí)行外部庫函數(shù)調(diào)用的時候,會根據(jù)動態(tài)庫的優(yōu)先級來加載庫函數(shù),linux下庫的加載順序?yàn)?etc/ld.so.preload( LD_PRELOAD)>/etc/ld.so.cache>/etc/ld.so.conf,當(dāng)程序調(diào)用外部庫的函數(shù),如果LD_PRELOAD里面有自定義和其他系統(tǒng)庫相同的庫函數(shù),則優(yōu)先加載我們自定義的函數(shù),這樣就達(dá)到了劫持系統(tǒng)函數(shù)的目的。

由于ps,top,ls 等幾乎所有的查看命令都基于readdir系統(tǒng)調(diào)用,所以能夠完美的隱藏掉進(jìn)程,對付一般的小白是完全夠用了。如果為了避免分析人員查找 /etc/ld.so.preload而定位到進(jìn)程,我們可以不創(chuàng)建ld.so.preload文件,而使用LD_PRELOAD宏來定義庫的路徑。例如將export LD_PRELOAD=/usr/local/lib/libprocesshider.so 放到linux系統(tǒng)啟動過程中rc文件去加載,加大定位的難度。

程序員攻防實(shí)戰(zhàn):linux下這樣隱藏進(jìn)程,簡直太溜了,快用起來(linux 隱藏進(jìn)程)

另外除去隱藏,還可以對執(zhí)行程序進(jìn)行運(yùn)行加密,常量字符串加密混淆,程序自動銷毀等反追蹤等,后面我們再一一討論。

(每天一個實(shí)戰(zhàn)技能,感謝點(diǎn)贊、關(guān)注、轉(zhuǎn)發(fā)。)

版權(quán)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn),該文觀點(diǎn)僅代表作者本人。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容, 請發(fā)送郵件至 舉報(bào),一經(jīng)查實(shí),本站將立刻刪除。

(0)
上一篇 2023年5月11日 上午10:51
下一篇 2023年5月11日 上午11:07

相關(guān)推薦

  • 建筑工程施工管理的進(jìn)度管理與控制策略(建筑工程施工管理的進(jìn)度管理與控制策略有哪些)

      一、影響建筑施工進(jìn)度因素   1.1 施工進(jìn)度和質(zhì)量不能得到同時保證   在現(xiàn)階段的施工建設(shè)中,不管是什么工程項(xiàng)目建設(shè),想要達(dá)到既保證施工質(zhì)量又保證施工進(jìn)度,這是不可能的,這也…

    科研百科 2023年9月8日
    184

  • 一建項(xiàng)目信息管理系統(tǒng)

    一建項(xiàng)目信息管理系統(tǒng):高效管理的工具 一建項(xiàng)目信息管理系統(tǒng)是一種高效管理一建項(xiàng)目的工具,能夠幫助項(xiàng)目經(jīng)理和相關(guān)人員對項(xiàng)目進(jìn)行全面管理。該系統(tǒng)具有多種功能,包括項(xiàng)目計(jì)劃、進(jìn)度管理、質(zhì)…

    科研百科 2025年1月14日
    2

  • 國內(nèi)科研項(xiàng)目現(xiàn)狀

    國內(nèi)科研項(xiàng)目現(xiàn)狀 隨著科技的不斷發(fā)展,國內(nèi)科研項(xiàng)目也在不斷涌現(xiàn)。在國內(nèi),許多科研機(jī)構(gòu)和企業(yè)都在積極申請和開展各種科研項(xiàng)目,以滿足社會和經(jīng)濟(jì)的發(fā)展需求。 目前,國內(nèi)科研項(xiàng)目的類型和規(guī)…

    科研百科 2025年3月11日
    1

  • 科研項(xiàng)目等級劃分,省部級

    科研項(xiàng)目等級劃分 隨著科技的不斷發(fā)展,科研項(xiàng)目的等級劃分也越來越明確。根據(jù)科研項(xiàng)目的規(guī)模和和影響力,可以將科研項(xiàng)目劃分為不同的等級。其中,省部級科研項(xiàng)目是最為高級的。 省部級科研項(xiàng)…

    科研百科 2024年10月22日
    25

  • 鋼鐵企業(yè)科研項(xiàng)目

    鋼鐵企業(yè)科研項(xiàng)目 鋼鐵企業(yè)科研項(xiàng)目是鋼鐵企業(yè)發(fā)展過程中的重要一環(huán),不僅能夠提高企業(yè)的技術(shù)水平和產(chǎn)品質(zhì)量,還能夠?yàn)槠髽I(yè)帶來更高的經(jīng)濟(jì)效益。本文將介紹一些鋼鐵企業(yè)科研項(xiàng)目的特點(diǎn)和意義。…

  • 2024年社區(qū)開展黨紀(jì)學(xué)習(xí)教育實(shí)施方案

    2024年社區(qū)開展黨紀(jì)學(xué)習(xí)教育實(shí)施方案 為進(jìn)一步加強(qiáng)社區(qū)黨紀(jì)教育,提高社區(qū)居民的黨紀(jì)意識和紀(jì)律觀念,促進(jìn)社區(qū)建設(shè)和發(fā)展,我社區(qū)制定了2024年社區(qū)開展黨紀(jì)學(xué)習(xí)教育實(shí)施方案。 一、時…

    科研百科 2024年11月18日
    36

  • 主持科研項(xiàng)目 翻譯

    主持科研項(xiàng)目翻譯 主持科研項(xiàng)目翻譯 科研項(xiàng)目翻譯 翻譯科研項(xiàng)目 翻譯科研項(xiàng)目 翻譯科研項(xiàng)目 翻譯科研項(xiàng)目 翻譯科研項(xiàng)目 翻譯科研項(xiàng)目 翻譯科研項(xiàng)目 翻譯科研項(xiàng)目 翻譯科研項(xiàng)目 翻譯…

    科研百科 2025年1月30日
    1

  • 國家級新能源開發(fā)科研項(xiàng)目國家級新能源開發(fā)科研項(xiàng)目

    國家級新能源開發(fā)科研項(xiàng)目 隨著全球能源消耗的不斷加劇,新能源開發(fā)已經(jīng)成為各國政府和企業(yè)關(guān)注的重點(diǎn)。國家級新能源開發(fā)科研項(xiàng)目作為一項(xiàng)涉及多個領(lǐng)域的大型工程,旨在開發(fā)和利用新能源技術(shù),…

    科研百科 2024年7月9日
    34

  • 科研項(xiàng)目管理風(fēng)險(xiǎn)課題

    科研項(xiàng)目管理風(fēng)險(xiǎn)課題 科研項(xiàng)目管理是一項(xiàng)至關(guān)重要的任務(wù),不僅能夠保證科研項(xiàng)目的順利進(jìn)行,還能夠提高項(xiàng)目的成功率和成果質(zhì)量。然而,科研項(xiàng)目管理過程中也會存在一定的風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)可能來…

    科研百科 2025年3月4日
    5

  • 石泉縣迎豐財(cái)政所:多措并舉加強(qiáng)財(cái)政資金監(jiān)管

    為確保鎮(zhèn)級財(cái)政資金安全、規(guī)范、高效運(yùn)行,更好地發(fā)揮鄉(xiāng)鎮(zhèn)財(cái)政職能作用,石泉縣迎豐財(cái)政所結(jié)合工作實(shí)際,強(qiáng)化資金監(jiān)管舉措,確保財(cái)政資金安全、高效運(yùn)轉(zhuǎn)。 完善制度,規(guī)范資金使用。健全完善預(yù)…

    科研百科 2022年7月5日
    449
日韩欧美少妇二区三区| 亚洲福利在线一区二区三区| 人无码Aⅴ片在线观看| 成人永久免费crm| 五月网丁香网| 在线看片无码永久免费aⅴ| 大码久久久久久久| 爆乳无码中文字幕久久久| 午夜亚洲AⅤ无码高潮片在线播放| 日本中文字幕不卡在线| 一毛片久久久久久久女| 午夜黄色国产AV| 87视频亚洲无码| 精品奶水区一区二区三区| 性欧美.日日| 另类A V无码| 日三级三级按摩AV片| 人人看一级毛片| 国产专区四| 欧美日韩视频在线一区二区 | 岔开你的腿网站| 婷婷终合五月| 免费A级毛片无码久久欧| 亚洲性爱欧美一区二区| 国产精品网站夜色| 欧美一区二区三区性视频| 免费观看A级毛片在线| 婷婷中文综合久久字幕| 国产黄色三级| 久久久情品久| 午夜免费黄色网| 国产免费AV在线一区| 亚洲AV综合AV一区久久久妖精| 视频在线看h| 国产青草亚洲香蕉精品久久 | 中文字幕不卡熟女回春| 玖玖伊人资源网| 美女裸体视频免费久久| 久久精品人人槡人妻人人爱 | 高清欧美性猛交xxxx| 婷婷國產成人|