linux 隐藏进程 - crux实现

最新推荐文章于 2024-06-03 15:38:21 发布
最新推荐文章于 2024-06-03 15:38:21 发布
阅读量1.3w 收藏 15
点赞数 1
分类专栏: ┣ Linux Kernel ┫ 文章标签: linux struct returning system list file
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/billpig/article/details/6038330
版权

    本文在不修改pstop命令的任何代码与采用将进程号置0的方法的前提下,实现隐藏进程,本程序在CRUX 2.2上实现

 

1、原理

   Linux中,可以通过/proc文件系统访问到许多内核的内部信息。/proc文件系统最初的设计也是用于方便地访问进程相关的信息,因此命名为proc。现在这个文件系统已用于反映系统中方方面面的信息,例如/proc/modules是模块的列表,/proc/meminfo则是内存使用的统计。/proc文件系统中的目录并非持久存储的信息,也就是说,其目录并不“真实”地存在于磁盘,而是在访问时动态生成。

     本项目中我们感兴趣的是/proc文件系统中关于进程的信息。每一个进程在/proc文件系统中有一个目录即(/proc/<pid>),目录名即进程号。self目录是一个链接,指向当前进程。

     ps命令和top命令从/proc文件系统中读取进程信息并显示出来。因此,如果一个进程的进程号没有在/proc文件系统中反映出来,则这个进程被“隐藏”了,“隐藏”进程在pstop命令的输出不出现。

 

2、实现

2.1 为task_struct添加变量hide如下:(include/linux/sched.h)

 

     

 

2.2 哪里修改proc代码

     在linux代码树中,所有文件系统的代码都放在linux/fs/目录中,其中,proc文件系统的原始码在linux/fs/proc中,下面我简单介绍一下proc目录中的源文件。 

     在目录中共有11个相关文件,他们是:
     procfs_syms.c inode.c generic.c base.c
     array.c root.c proc_tty.c proc_misc.c
     kmsg.c kcore.c proc_devtree.c

     这么多的文件我们如何去找呢,借鉴网上的资料,对各个文件进行查找可知:
     其中,procfs_syms.c,generic.c及inode.c和proc文件系统的管理相关,包括proc文件系统的注册,及向内核其他子系统提供的例程等等。
     源文件root.c和proc文件系统的根结点的管理相关。
     而base.c,array.c则用来处理/proc目录中进程的信息,包括命令行,进程状态,内存状态等等和进程相关的内容。proc_tty.c用来处理/proc/tty信息,proc_misc.c则用来管理和/proc目录中的大多数文件。
     除此之外,更有两

最低0.47元/天 解锁文章
billpig
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 15
    评论
专栏目录
驱动隐藏模块
qq_45844442的博客
04-22 440
以下代码为驱动隐藏代码,代码比较简单,只需要修改一下PsCreateSystemThread函数最后一个成员,改为自己的驱动名称就可以了(注意不加后缀),这份代码与很多网上的相似,但是当我用网上的代码运行时各种蓝屏,不是少写了个取地址就是IoDriverObjectType没有声明为指针的指针,于是修复了他们写的bug。
隐藏驱动模块(源码)
liujiayu2的专栏
06-16 2901
XP亲测有效,使用我们自己编写的枚举驱动模块会看不到。枚举驱动模块请看文章 http://blog.csdn.net/liujiayu2/article/details/72822478 但是使用ARK工具依然能看到我们隐藏的驱动某块,比如kernel detective 和PChunter 但是隐藏的驱动模块为红色,意为ARK工具检测到了该模块进行了隐藏 #include
应急响应之Linux进程隐藏
最新发布
白帽子凯哥聊黑客
06-03 893
当黑客获取系统 root 权限时,为了实现持久化控制往往会创建隐藏恶意进程,这给应急响应人员取证的时候带来了难度,隐藏进程的方法分为两类,一类是用户态隐藏,另一类是内核态隐藏。用户态常使用的方法有很多,例如劫持预加载动态链接库,一般通过设置环境变量 LD_PRELOAD 或者 /etc/ld.so.preload,过滤 /proc/pid 目录、修改进程 PID 等等。
隐藏进程占用cpu高
sagens2019的博客
12-30 1429
使用uptime和top 可以看到cpu的使用率高,但是看不到占用的进程 查看文件发现很多文件被上了特殊权限。基本可以确定服务器被黑了 先使用lsattr查看权限,再用chattr解除权限 挖矿修改了centos 的动态链接库配置文件ld.so.preload内容并引用了/usr/local/lib/中的多个文件 先清理动态链接库 cp /etc/ld.so.preload /etc/ld.so.preload.bak vi /etc/ld.so.preload #删除相关内容 使用top查看
Linux进程隐藏】在Linux环境下添加系统调用实现进程隐藏
qq_51720181的博客
06-25 2838
linux下添加系统调用实现隐藏进程,保姆级教学
【转】Linux进程隐藏的常见手法及侦测手段
tpriwwq的专栏
08-08 9537
Linux系统中进程隐藏的常见手法及侦测方法
react-crux-examples:显示 react-crux 的所有功能的现场示例
08-04
React关键示例 ... cd react-crux-examples 纱 纱线运行开始 本地服务器将开始在 注意:由于示例只有客户端代码,因此创建、修改和删除调用将失败。 为了让它们运行,启动一个监听 /models 的服务器
fulcro-rad-crux
03-25
crux-adapter/start-databases需要一个带有:roterski.fulcro.rad.database-adapters.crux/databases键的映射,其中包含每个已定义数据库的配置映射。 然后将配置图直接传递到crux.api/start-node因此请参阅以获取...
Compilers-Crux-Symbol-Table:关键语言符号表实现
06-12
本主题将深入探讨"Compilers-Crux-Symbol-Table:关键语言符号表实现",特别是针对Java语言的实现。 1. 符号表的概念与作用: - 符号表是编译器在词法分析和语法分析阶段创建并维护的数据结构,用于存储源程序中...
Compilers-Crux-Abstract-Syntax-Tree:关键语言 AST 实现
06-12
在这个"Compilers-Crux-Abstract-Syntax-Tree"项目中,重点是使用Java实现关键语言的AST。下面,我们将深入探讨AST的原理、构建过程以及在Java编程中的应用。 1. 抽象语法树的定义: AST是对源代码语法结构的一种...
egeria-crux-omrs:Juxt Crux中的Egeria开放元数据存储库实现
04-06
建造lein cleanlein install包裹mvn -f assembly/pom.xml clean package# Resultant uberjar is located at# assembly/target/egeria-crux-orms-assembly-X.X.X-SNAPSHOT-jar-with-dependencies.jar
/proc 目录下各进程创建过程
wyt357359的专栏
12-09 1108
/proc/ 下各进程是动态创建的,其创建过程如下 (内核版本为 2.6.30):  mount -t proc proc /proc     .get_sb                = proc_get_sb,          proc_fill_super                    root_inode = proc_get_inode(s, PROC_ROOT_I...
Linux下木马程序隐藏进程实战
qq_42499737的博客
07-15 924
实验环境 本实验在6.x的操作系统上完成: [root@gaosh-1 ~]# cat /etc/redhat-release CentOS release 6.9 (Final) Rootkit概述 Rootkit概述:Rootkit 是指在已获得系统最高权限的情况下,一种用来保持对目标系统最高访问权限并隐藏攻击行为的工具集. Rootkit 是一个典型的木马软件,广泛存在于多种操作系统之中。Rootkit 工具一般由多个程序组成,包含各种辅助攻击的工具。例如,网络嗅探工具,用来截获在网络上传输的信息
linux创建隐藏进程,一行代码教你如何隐藏Linux进程
weixin_31953847的博客
04-30 186
总有朋友问隐藏Linux进程的方法,我说你想隐藏到什么程度,是大隐于内核,还是小隐于用户。网上通篇论述的无外乎 hook 掉 procfs 或者类似的用户态方案,也都难免长篇大论,我说,这些场面都太大了,太复杂了。对于希望马上看到效果的而言,看到这么一堆复杂的东西,大概率望而却步。本文介绍一种将Linux进程小隐于用户的非常规方法,仅仅一行代码:修改掉进程的pid即可。注意是小隐,所以,不值得反制...
linux杀死指定进程pid,如何杀死指定的进程__grep_进程_crontab_pid_kill_process__169IT.COM...
weixin_34028581的博客
04-29 840
我想在我的linux服务器上定时的去杀一些进程 我从网上找到了一个 但是不太会用functionkill_process{forpidin`cat$1`do{echo"$pid"kill-9$pid}donerm-f$1}psaux|grep"cef"|grep-v"grep"|awk'{print$2}'>/tmp/cef.pidkill_p...
Linux内核通过inline hook实现隐藏进程
zwj0403的专栏
12-17 2020
这是我们操作系统的大作业。 原理就是inline hook 那个 proc 文件系统,根目录下的 readdir 的函数。 替换掉第三个参数,filldir。 代码爆短,60来行。 Ubuntu 10.04 测试可用。 #include  #include  #include  #include  #include  int register_kprobe(stru
如何在 Linux/Unix/Windows 中发现隐藏进程和端口
01-31 1465
英文:Vivek Gite,翻译:Linux中国/fan Lilinux.cn/article-9288-1.htmlunhide 是一个小巧的网络取证工具,能够发现那些借助 rootkit、LKM 及其它技术隐藏进程和 TCP/UDP 端口。这个工具在 Linux、UNIX 类、MS-Windows 等操作系统下都可以工作。根据其 man 页面的说明:Unhide 通过下述三项技术来发现隐藏
AutoCAD二次开发的时候创建项目回弹
07-25
在AutoCAD的二次开发中,可以使用AutoLISP或者.NET等编程语言来实现创建项目回弹的功能。通过编写相应的代码,可以在项目创建的过程中对用户输入的参数进行验证,并在发现错误或者缺失时进行提示和修正。 具体实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 15
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值