Linux进程隐藏

最新推荐文章于 2024-07-15 11:22:38 发布
最新推荐文章于 2024-07-15 11:22:38 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: linux 使用杂记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w18mc0431/article/details/52357083
版权

在linux3.3内核以后,在procs 增加了一个挂载选项hidepid,实现对用户隐藏进程。

hidepid=0: 默认模式,所有人都可以访问读取公开的 /proc/PID/* 文件

hidepid=1: 用户不能访问进入的/proc/PID 文件,除了属于他的目录,一些敏感文件比如cmdline, io, sched*, status, wchan对其他用户保护起来,。当用户输入ps,top等命令,用户是看不到那些不属于自己的进程的!!不过还是能够看到/proc下的process IDs

hidepid=2: 是hidepid的加强,这种设定下,/proc/PID/ 对于任何用户都是不可见的——哪怕是入侵到/proc 目录下,也看不到process IDs。无论是否有部分守护进程是以提升的权限运行,是否有其他用户运行一些敏感程序,是否有其他用户运行任何程序等,这个参数的设定都使得入侵者收集系统运行进程信息变得更复杂,难度加大。

在一个共享服务器上强烈建议hidepid=2选项来挂载procfs, 可以在运行时重新挂载procfs.


$ mount | grep ^proc
proc on /proc type proc (rw,relatime)

$ mount -o remount,hidepid=2 /proc

$ mount | grep ^proc
proc on /proc type proc (rw,relatime,hidepid=2)

也可以直接在/etc/fstab中增加挂载选型来持续生效

# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc              / proc           proc     defaults , hidepid = 2          0        0

 通过ps 命令查看只能查看该用户的进程信息
user @ web : ~ $ ps
   PID TTY           TIME CMD
17486 pts / 0      00 : 00 : 00 bash
24806 pts / 0      00 : 00 : 00 ps
这也同样对pstree, top, htop生效


还有其他的一些进程隐藏手段可以采用:
1.使用一个适当的框架(Selinux,  gresecurity)
2.改变ps 、 top等命令的二进制文件
3.改变libc库函数, 改变readdir函数
4.系统调用劫持

兜兜空荡荡
关注
专栏目录
Linux C高阶(26)linux进程隐藏 hook readdir函数 挂载覆盖/proc/pid目录
二进制君
10-25 1161
文章目录前言一、应用层下 hook 函数调用实现隐藏二、挂载覆盖/proc/pid 目录三、总结 前言 上篇介绍了如何在有源码的情况下,通过 argv[] 及 prctl 对进程名及参数进行修改,整篇围绕/proc/pid/目录和 ps、top 命令进行分析,做到了初步隐藏,即修改了 /proc/pid/stat 、/proc/pid/status 、/proc/pid/cmdline 这些文件的信息,使得 ps、top 命令显示了虚假的进程信息;但是还存在一些缺点: 1.ps、top 命令还是显示了真实的
Linux隐藏进程PID 信息
最新发布
刘元林的博客
07-30 416
这条命令用于重新挂载/proc文件系统,并应用hidepid选项,隐藏进程PID 信息。mount命令用于将文件系统挂载到 Linux 系统中的某个目录上。通常用于挂载分区、USB 设备或网络文件系统等。-o remount选项表示重新挂载一个已经挂载的文件系统。这意味着mount命令不是用于挂载新的文件系统,而是更改一个已经存在的挂载点的属性。选项用于隐藏进程PID 信息。hidepidhidepid=0: 这是默认值,表示不隐藏任何进程PID信息。hidepid=1。
Linux 进程隐藏
04-26
NULL 博文链接:https://tcspecial.iteye.com/blog/2361998
渗透测试之Linux进程隐藏(非常详细)零基础入门到精通,收藏这一篇就够了
leah126的博客
07-15 667
Linux服务器上获取root用户权限后,可以通过挂载覆盖/proc/pid目录来隐藏进程,使其在ps和top命令的输出结果中消失。同时,可以利用LD_PRELOAD环境变量劫持系统函数,通过自定义动态链接库来控制不显示指定进程名,从而隐藏进程的存在。在渗透测试中,权限维持是很重要的环节。拿下目标后,无论是搜集信息,还是作为跳板,都需要长久的获取这台机器的权限。这时候,我们需要考虑Shell的“持久战”!
Linux系统下如何隐藏自己的进程
Netfilter
04-02 5130
虽然并不建议直接使用root登录Linux系统,但很多时候,大家还是会用root登录,所以本文就假设你使用root登录了系统。 你想写一个进程,偷偷摸摸干点坏事,或者明目张胆地不断在屏幕上输出经理的手机号码,而这一切却又让经理要么发现不了,或者说即便被经理发现了也让他无能无力吗? 是的,你肯定想这么干,就像我一样,你唯一要做的,只是把你的这个进程隐藏掉。 隐藏进程这件事和经理无关,它是个手艺活儿。...
Linux系统创建系统侦测不到的隐形进程(Rootkit技术必备)
Lieke的博客
10-27 362
在前面的文章中,我不止一次谈到隐藏一个进程的方法,该方法在我看来引以为豪地彻底又直接: 将task从tasks链表摘除。 将task从pid链表摘除。 如此一来除非你扫描run queue或者扫描内存进行特征匹配,否则很难找到这个被隐藏进程: task即使被隐藏也要进入run queue运行。 task的字段值或者其地址本身具有特征。 当然,前面提到的perf probe/trace,dump stack之类的侦测技术无疑也属于扫描run queue或者特征匹配的范畴。 方法是好方法,确实也可以吊打那些h
浅谈Linux进程隐藏
qq_63980959的博客
03-07 1232
💡 本文不会涉及内核层面,只是从应用层介绍linux进程隐藏的一些知识点,抛砖引玉,探索更多的思路LD_PRELOAD。
聊一聊Linux进程隐藏的常见手法及侦测手段
大方子
10-01 1万+
0x00.前言 进程隐藏是恶意软件隐藏自身痕迹逃避系统管理人员发现的常用伎俩之一,当然,安全防护人员有时候也会使用到,比如隐藏蜜罐中的监控进程而不被入侵者觉察等。笔者也曾在多次安全应急响应经历中遇到过多各式各样的进程隐藏伎俩,了解进程隐藏的常见手法及发现手段是每一位安全运维工程师所应掌握的知识点。本文抛砖引玉,浅谈我所了解的Linux进程隐藏手段及发现技巧,也希望读者能够积极分享自己相关经验与...
(渗透测试后期)Linux进程隐藏详解
热门推荐
qq_42882717的博客
03-27 1万+
文章目录(渗透测试后期)Linux进程隐藏详解前言Linux进程基础Linux进程侦查手段Linux进程隐藏手段一、基于用户态的进程隐藏方法1:小隐隐于/proc/pid——劫持readdir系统调用额外:加载至arm方法2:小隐隐于/proc/pid——mount 挂载二、基于内核态的进程隐藏方法3:大隐隐于内核——修改内核源码+系统调用方法4:大隐隐于内核——修改内核源码proc_pid_lookup方法5:大隐隐于内核——编写驱动/内核模块——LKM实现进程隐藏总结 (渗透测试后期)Linux进程隐藏
Linux内核进程隐藏技术在动态取证中的应用.pdf
09-06
"Linux内核进程隐藏技术在动态取证中的应用.pdf" 本文档讨论了Linux内核进程隐藏技术在动态取证中的应用。动态取证是指在系统正常运行的状态下,获取目标主机中的所有数据,以重构实际的犯罪事实。该技术可以用于...
Linux中实现进程隐藏的一种新方法.pdf
09-06
Linux进程隐藏新方法概述】 在Linux操作系统中,进程隐藏是一种有效的进程保护策略,旨在防止恶意用户或程序访问特定进程的信息。传统的进程隐藏方法主要通过修改像`ps`和`top`这样的系统命令或者劫持文件系统...
隐藏windows进程
04-21
隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程
隐藏进程(隐藏进程管理器中的显示)
07-02
使用与xp, win7等各种windows平台,而且不用注入API方式,免除杀毒软件误判之忧. 方法非常简单,就是使用最普通的往进程的窗口发送消息的办法.
可以隐藏任何进程
01-17
可以可很多防杀,可以隐藏任何进程 ,驱动级加载防杀,很实用
进程隐藏工具(一个可以隐藏进程的小工具)
03-23
一个可以隐藏进程的小工具,使用简单,体积小巧(105KB)
windows进程隐藏工具
09-08
进程隐藏工具是简单小巧的软件,可以隐藏任务栏、进程,一键隐藏你想隐藏的程序。如果你上班、上课期间偷偷看电影、玩游戏又害怕被发现,可以下载一款进程隐藏工具,一键就能隐藏你开着的进程
Linux 隐藏进程
chi's blog
10-09 1342
这种方式属于DKoM(Direct Kernel Object Manipulation)攻击方式了,即直接内核对象操作技术。关于第一种hook方式可以参考上一篇文章。最后推荐一个rootkit工具。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 979
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
linux查看隐藏进程
03-16
可以使用命令 ps aux 或者 ps -ef 来查看隐藏进程。其中,aux 和 -ef 都是参数,用于指定输出的格式。在输出结果中,隐藏进程的名称前面会有一个方括号 [],表示该进程隐藏的。如果想要查看更详细的信息,可以使用命令 ps -efl。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值