Linux进程隐藏

最新推荐文章于 2024-07-15 11:22:38 发布
最新推荐文章于 2024-07-15 11:22:38 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: linux 使用杂记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w18mc0431/article/details/52357083
版权

在linux3.3内核以后,在procs 增加了一个挂载选项hidepid,实现对用户隐藏进程。

hidepid=0: 默认模式,所有人都可以访问读取公开的 /proc/PID/* 文件

hidepid=1: 用户不能访问进入的/proc/PID 文件,除了属于他的目录,一些敏感文件比如cmdline, io, sched*, status, wchan对其他用户保护起来,。当用户输入ps,top等命令,用户是看不到那些不属于自己的进程的!!不过还是能够看到/proc下的process IDs

hidepid=2: 是hidepid的加强,这种设定下,/proc/PID/ 对于任何用户都是不可见的——哪怕是入侵到/proc 目录下,也看不到process IDs。无论是否有部分守护进程是以提升的权限运行,是否有其他用户运行一些敏感程序,是否有其他用户运行任何程序等,这个参数的设定都使得入侵者收集系统运行进程信息变得更复杂,难度加大。

在一个共享服务器上强烈建议hidepid=2选项来挂载procfs, 可以在运行时重新挂载procfs.


$ mount | grep ^proc
proc on /proc type proc (rw,relatime)

$ mount -o remount,hidepid=2 /proc

$ mount | grep ^proc
proc on /proc type proc (rw,relatime,hidepid=2)

也可以直接在/etc/fstab中增加挂载选型来持续生效

# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc              / proc           proc     defaults , hidepid = 2          0        0

 通过ps 命令查看只能查看该用户的进程信息
user @ web : ~ $ ps
   PID TTY           TIME CMD
17486 pts / 0      00 : 00 : 00 bash
24806 pts / 0      00 : 00 : 00 ps
这也同样对pstree, top, htop生效


还有其他的一些进程隐藏手段可以采用:
1.使用一个适当的框架(Selinux,  gresecurity)
2.改变ps 、 top等命令的二进制文件
3.改变libc库函数, 改变readdir函数
4.系统调用劫持

兜兜空荡荡
关注
专栏目录
Linux 进程隐藏
04-26
NULL 博文链接:https://tcspecial.iteye.com/blog/2361998
Linux隐藏进程PID 信息
最新发布
刘元林的博客
07-30 417
这条命令用于重新挂载/proc文件系统,并应用hidepid选项,隐藏进程PID 信息。mount命令用于将文件系统挂载到 Linux 系统中的某个目录上。通常用于挂载分区、USB 设备或网络文件系统等。-o remount选项表示重新挂载一个已经挂载的文件系统。这意味着mount命令不是用于挂载新的文件系统,而是更改一个已经存在的挂载点的属性。选项用于隐藏进程PID 信息。hidepidhidepid=0: 这是默认值,表示不隐藏任何进程PID信息。hidepid=1。
渗透测试之Linux进程隐藏(非常详细)零基础入门到精通,收藏这一篇就够了
leah126的博客
07-15 671
Linux服务器上获取root用户权限后,可以通过挂载覆盖/proc/pid目录来隐藏进程,使其在ps和top命令的输出结果中消失。同时,可以利用LD_PRELOAD环境变量劫持系统函数,通过自定义动态链接库来控制不显示指定进程名,从而隐藏进程的存在。在渗透测试中,权限维持是很重要的环节。拿下目标后,无论是搜集信息,还是作为跳板,都需要长久的获取这台机器的权限。这时候,我们需要考虑Shell的“持久战”!
Linux系统下如何隐藏自己的进程
Netfilter
04-02 5131
虽然并不建议直接使用root登录Linux系统,但很多时候,大家还是会用root登录,所以本文就假设你使用root登录了系统。 你想写一个进程,偷偷摸摸干点坏事,或者明目张胆地不断在屏幕上输出经理的手机号码,而这一切却又让经理要么发现不了,或者说即便被经理发现了也让他无能无力吗? 是的,你肯定想这么干,就像我一样,你唯一要做的,只是把你的这个进程隐藏掉。 隐藏进程这件事和经理无关,它是个手艺活儿。...
linux 隐藏进程 - crux实现
11-26 1万+
    本文在不修改ps或top命令的任何代码与采用将进程号置0的方法的前提下,实现隐藏进程。1、原理   Linux中,可以通过/proc文件系统访问到许多内核的内部信息。/proc文件系统最初的设计也是用于方便地访问进程相关的信息,因此命名为proc。现在这个文件系统已用于反映系统中方方面面的信息,例如/proc/modules是模块的列表,/proc/meminfo则是内存使用的统计。/proc文件系统中的目录并非持久存储的信息,也就是说,其目录并不“真实”地存在于磁盘,而是在访问时动态生成。    
linux进程隐藏,一行代码教你如何隐藏Linux进程
weixin_42406647的博客
04-30 791
总有朋友问隐藏Linux进程的方法,我说你想隐藏到什么程度,是大隐于内核,还是小隐于用户。网上通篇论述的无外乎hook掉procfs或者类似的用户态方案,也都难免长篇大论,我说,这些场面都太大了,太复杂了。对于希望马上看到效果的而言,看到这么一堆复杂的东西,大概率望而却步。本文介绍一种将Linux进程小隐于用户的非常规方法,仅仅一行代码:修改掉进程pid即可。注意是小隐,所以,不值得反制,逗一下...
linux隐藏运行,linux隐藏进程方法以及编译不通解决办法
weixin_34321609的博客
05-01 154
1.本文所用到的工具在 https://github.com/gianlucaborello/libprocesshider 可以下载2.思路就是利用 LD_PRELOAD 来实现系统函数的劫持LD_PRELOAD是什么:LD_PRELOAD是Linux系统的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库。这个功能主要就是用...
一行代码教你如何隐藏Linux进程
09-14
这里我们将探讨一种简单的方法,通过一行代码实现Linux进程的小范围隐藏,这种方法适用于学习和趣味实验,但并不推荐用于实际生产环境,因为它很容易被反制且不具备真正的安全保护作用。 首先,我们要理解Linux是...
linux隐藏进程的一种方法及遇到的坑
09-15
主要介绍了linux隐藏进程的一种方法,主要实现思路就是利用 LD_PRELOAD 来实现系统函数的劫持,具体实现代码,需要的朋友可以参考下
linux隐藏进程的几种实现方法.zip
01-18
linux隐藏进程的几种实现方法.zip
Linux隐藏进程
无与伦比BLOG
03-09 5535
系统信息:内核为2.6.32, CentOSX86_64 由于不能修改内核源码,故需要引入劫持系统调用技术、Linux可卸载模块编程技术 示例程序 #include #include #include #include #include #include #include #include #include #define CALLOFF 100 //define
[后渗透]Linux下的几种隐藏技术【转载】
baguangman5501的博客
09-02 527
原作者:Bypass 原文链接:转自Bypass微信公众号 0x00 前言 攻击者在获取服务器权限后,会通过一些技巧来隐藏自己的踪迹和后门文件,本文介绍Linux下的几种隐藏技术。 0x01 隐藏文件 Linux 下创建一个隐藏文件: touch .test.txt touch 命令可以创建一个文件,文件名前面加一个 点 就代表是隐藏文件,如下图: 一般的Linux下的隐藏目录使用命令...
Linux当中如何隐藏和查看进程
因上努力,果上随缘。但行好事,莫问前程。
09-02 8726
进程是执行程序的过程,类似于按照图纸,真正去盖房子的过程。同一个程序可以执行多次,每次都可以在内存中开辟独立的空间来装载,从而产生多个进程。不同的进程还可以拥有各自独立的IO接口。操作系统的一个重要功能就是为进程提供方便,比如说为进程分配内存空间,管理进程的相关信息等等,就好像是为我们准备好了一个精美的地址。进程信息是proc目录下动态生成,每个动态创建的进程ID号下面详细的记录了关于该进程的fd,mem,io,cpuset等进程信息。
linux查看进程_Linux下的几种隐藏技术
weixin_39622710的博客
10-21 458
0x00 前言攻击者在获取服务器权限后,会通过一些技巧来隐藏自己的踪迹和后门文件,本文介绍Linux下的几种隐藏技术。0x01 隐藏文件Linux 下创建一个隐藏文件:touch .test.txt touch 命令可以创建一个文件,文件名前面加一个 点 就代表是隐藏文件,如下图:一般的Linux下的隐藏目录使用命令ls -l是查看不出来的,只能查看到文件及文件夹,查看Linux下的隐藏文件需要...
linux-隐藏进程-病毒进程
weixin_41410744的博客
09-11 221
错误:ld.so:无法预加载/etc/ld.so.preload中的对象“/usr/local/lib/bioset.so”:忽略。
linux创建隐藏进程,一行代码教你如何隐藏Linux进程
weixin_42299032的博客
04-30 212
总有朋友问隐藏Linux进程的方法,我说你想隐藏到什么程度,是大隐于内核,还是小隐于用户。网上通篇论述的无外乎 hook 掉 procfs 或者类似的用户态方案,也都难免长篇大论,我说,这些场面都太大了,太复杂了。对于希望马上看到效果的而言,看到这么一堆复杂的东西,大概率望而却步。本文介绍一种将Linux进程小隐于用户的非常规方法,仅仅一行代码:修改掉进程pid即可。注意是小隐,所以,不值得反制...
Linux下防止用户查看他人的进程-hidepid
rockly89的博客
03-16 4679
Linux kernel 3.2以上,root用户可以设置内核,让普通用户看不到其它用户的进程。适用于有多个用户使用的系统。该功能由内核提供,因此本教程适用于Debian/Ubuntu/RHEL/CentOS等。 原理 Linux中,可以通过/proc文件系统访问到许多内核的内部信息。/proc文件系统最初的设计也是用于方便地访问进程相关的信息,因此命名为proc。现在这个文件系统已用于反
(渗透测试后期)Linux进程隐藏详解
热门推荐
qq_42882717的博客
03-27 1万+
文章目录(渗透测试后期)Linux进程隐藏详解前言Linux进程基础Linux进程侦查手段Linux进程隐藏手段一、基于用户态的进程隐藏方法1:小隐隐于/proc/pid——劫持readdir系统调用额外:加载至arm方法2:小隐隐于/proc/pid——mount 挂载二、基于内核态的进程隐藏方法3:大隐隐于内核——修改内核源码+系统调用方法4:大隐隐于内核——修改内核源码proc_pid_lookup方法5:大隐隐于内核——编写驱动/内核模块——LKM实现进程隐藏总结 (渗透测试后期)Linux进程隐藏
Linux 隐藏进程
chi's blog
10-09 1344
这种方式属于DKoM(Direct Kernel Object Manipulation)攻击方式了,即直接内核对象操作技术。关于第一种hook方式可以参考上一篇文章。最后推荐一个rootkit工具。
linux查看隐藏进程
03-16
可以使用命令 ps aux 或者 ps -ef 来查看隐藏进程。其中,aux 和 -ef 都是参数,用于指定输出的格式。在输出结果中,隐藏进程的名称前面会有一个方括号 [],表示该进程隐藏的。如果想要查看更详细的信息,可以使用命令 ps -efl。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值