Linux几种检测rootkit隐藏进程的方法

最新推荐文章于 2024-06-03 15:38:21 发布
最新推荐文章于 2024-06-03 15:38:21 发布
阅读量3.3k 收藏 9
点赞数 4
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bin_linux96/article/details/105889045
版权

Rootkit通常会隐藏进程,隐藏文件和网络连接。这里主要记录几种对隐藏进程的检测方法

一. 隐藏进程的方法

1.1 用户级Rootkit 通过LD_PRELOAD来hook libc库,从而过滤/proc/pid目录

1.2 内核级rootkit 通过hook系统调用getdents/getdents64或者hook 文件file_operation的iterate

1.3 内核级rootkit把task_struct 从相关链表摘除(init_task,pidlist)

二 检测进程的方法

2.1 前两种隐藏检测方法

因为进程还在内核链表中,可以通过pid找到task_struct .

第一步:读/proc/pid目录,收集系统所有进程

第二步: 给0到pid_max进程发送任意信号,信号发送成功,表示进程存在,从而收集系统所有进程
for(pid=0;pid<PID_MAX;pid++)
        kill   -20 pid

第三步:对比第一步和第二步收集进程的差异,即可确认隐藏进程(要排除已经退出的进程)


2.2 第三种隐藏方法的检测
因为在链表中找不到,所以不能通过PID找到task_struct.这里可以基于task_strcut的特征,在内存中查找task_struct结构体

直接上代码:
 

/*通过PID获取task_struct检测进程是否存在,也可以读/proc/确认 */
static struct task_struct *get_task(pid_t nr)

{

    struct task_struct *task = NULL;
    struct pid *pid_group = NULL;
    pid_group = find_get_pid(nr);
    task = get_pid_task(pid_group,PIDTYPE_PID);
    if(IS_ERR_OR_NULL(pid_group)||IS_ERR_OR_NULL(task)){
        //printk("Can't Get pid =%d,pid=%px,task=%px\n",nr,pid_group,task);
        return NULL;
    }
	return task;
}

/*这里假设隐藏进程使用CFS调度,其他调度类也可采用类似方法比较 */

static int scan_task(struct page *page)

{
	struct task_struct *task = NULL ;
	unsigned long start = page_to_virt(page);
	unsigned long end = start+PAGE_SIZE;
	while(start<end){

		task = (struct task_struct *)start;
            /*找到task_struct结构体,当然也可以用其他task_struct特征值
        进程再怎么隐藏和篡改,也不会修改sched_class的值,因为还需要运行。
 */
		if(task->sched_class==current->sched_class&&(task->state!=TASK_DEAD)){

			get_task_struct(task);
                        /*如果get_task找不到,而扫描内存能找到,证明进程隐藏了 */
			if(!get_task(task->pid))
				printk("We get Hide task %s,pid=%d\n",task->comm,task->pid);
			start += sizeof(*task);
			put_task_struct(task);
			continue ;
		}

		start++;
	}

	return 0;
}

static void scan_memory(void)

{
	int i = 0;
        /*遍历系统所有内存 */
	for_each_online_node(i) {
		unsigned long start_pfn = node_start_pfn(i);
		unsigned long end_pfn = node_end_pfn(i);
		unsigned long pfn;

		for (pfn = start_pfn; pfn < end_pfn; pfn++) {
			struct page *page = pfn_to_online_page(pfn);

			if (!page)
				continue;
			/* only scan pages belonging to this node */
			if (page_to_nid(page) != i)
				continue;
			/* only scan if page is in use */
			if (page_count(page) == 0)
				continue;
			/*因为task_struct是通过slab机制分配 */
			if(!PageSlab(page))
				continue ;
			scan_task(page);
			if (!(pfn & 63))
				cond_resched();
		}
	}
	

}

效果:
把firefox进程3126从内核链表中摘除,从/proc/看不到
ls: cannot access '/proc/3126': No such file or directory
加载内存扫描模块:

[ 2452.997816] We get Hide task firefox,pid=3126

可以看到能够找到被隐藏的进程.
通过task_struct的特征值来扫描内存时,一定要选取不能轻易篡改的值,否则很容易被木马对抗.

Robin.Yin
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
linux隐藏进程的一种方法及遇到的坑
01-20
前言 1.本文所用到的工具在 https://github.com/gianlucaborello/libprocesshider 可以下载 2.思路就是利用 LD_PRELOAD 来实现系统函数的劫持 LD_PRELOAD是什么: LD_PRELOAD是Linux系统的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。一方面,我们可以以此功能来使用自己的或是更好的函
rootkit文件进程隐藏
11-05
rootkit,backdoor,系统调用劫持,ps进程隐藏,ls文件隐藏,代码
应急响应之Linux进程隐藏
最新发布
白帽子凯哥聊黑客
06-03 981
当黑客获取系统 root 权限时,为了实现持久化控制往往会创建隐藏恶意进程,这给应急响应人员取证的时候带来了难度,隐藏进程方法分为两类,一类是用户态隐藏,另一类是内核态隐藏。用户态常使用的方法有很多,例如劫持预加载动态链接库,一般通过设置环境变量 LD_PRELOAD 或者 /etc/ld.so.preload,过滤 /proc/pid 目录、修改进程 PID 等等。
rootkit:实现隐藏进程
weixin_34054866的博客
05-01 288
实现隐藏进程一般有两个方法: 1,把要隐藏进程PID设置为0,因为系统默认是不显示PID为0的进程。 2,修改系统调用sys_getdents()。 Linux系统中用来查询文件信息的系统调用是sys_getdents,这一点可以通过strace来观察到,例如strace ls 将列出命令ls用到的系统调用,从中可以发现ls是通过getdents系统调用来操作的,对应于内核里的s...
linux 隐藏进程,聊一聊Linux进程隐藏的常见手法及侦测手段
weixin_39621669的博客
04-28 713
严正声明:本文仅限于技术讨论与学术学习研究之用,严禁用于其他用途(特别是非法用途,比如非授权攻击之类),否则自行承担后果,一切与作者和平台无关,如有发现不妥之处,请及时联系作者和平台0x00.前言进程隐藏是恶意软件隐藏自身痕迹逃避系统管理人员发现的常用伎俩之一,当然,安全防护人员有时候也会使用到,比如隐藏蜜罐中的监控进程而不被入侵者觉察等。笔者也曾在多次安全应急响应经历中遇到过多各式各样的进程隐藏...
记一次 Linux 隐藏进程排查
zhuisuiwoxin3的博客
04-17 739
某一客户环境,机器负载很高,但用户没有运行任务;但是top 、ps -ef查不到这些进程;3.systemctl list-units --type=service --all 排查确认运行的任务是否有些异常服务,5.将找到被修改的文件,chattr -ia 获取权限, rm -rf 删除掉文件。1.到/usr/bin/ 执行 ls -lt 确认最近修改的文件的修改时间。9.修改root 密码,重新生成公钥等,修改ssh 配置文件 进行加固。7.kill -9 掉相应的进程, 一般情况下,负载会降下来。
Rootkit隐藏进程和端口检测
手牵手科技
04-19 2204
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。 例如:inetd或者login,为攻击者提供后门;隐藏攻击者的目录和进程的程序,ps、netstat等常见命令。 rootkit检测也成为主机安全一项重要功能,针对rootkit中最常见隐藏进程、端口检测,主要分为两种检测思路...
Linux内核级Rootkit检测方法的研究与应用
06-05
接着,文章可能会介绍几种常用的Rootkit检测技术。其中包括: 1. **内核自我保护**:通过增强内核的完整性检查,例如使用签名验证,防止恶意代码注入。此外,内核自我保护还包括防止未授权的系统调用修改。 2. **...
一种新型Linux内核级Rootkit设计与实现.pdf
09-06
本文设计并实现了一种新型的Linux内核级Rootkit,该Rootkit可以绕过当前主流的Rootkit检测方法,提供了更好的隐藏机制和更高的抗检测能力。该Rootkit具有高度的抗检测能力、可靠的隐藏机制和高度的隐蔽性,是一种...
Linux系统调用劫持:技术原理、应用及检测.pdf
09-07
2. 隐藏进程:通过劫持进程管理相关的系统调用,攻击者可以使得某些特定的进程在系统进程中不可见。 3. 隐藏网络连接:网络相关的系统调用(如socket、connect)可以被劫持,以隐藏网络通信的存在。 4. 重定向可执行...
Linux安全-Linux 安全检测器的设计与实现
03-18
### Linux安全检测器的设计与实现:深入解析 #### 引言 ...基于LKM的Linux安全检测器作为一种前沿的技术手段,不仅体现了对现代操作系统特性的深度挖掘,更为网络安全防护体系的建设提供了新的思路和方向。
修改system_call sysenter_do_call-隐藏文件目录
10-13
5. **隐藏痕迹**:为了防止被检测到,攻击者还需要清理日志、隐藏异常行为,并可能使用rootkit技术来隐藏其修改。 这种攻击方式被称为rootkit,是一种高级的恶意软件形式,能够深度潜伏在系统中并控制其行为。对于...
linux rootkit手动排查,Linux Rootkit如何避开内核检测
weixin_35057850的博客
05-15 250
Rootkit在登堂入室并得手后,还要记得把门锁上。如果我们想注入一个Rootkit到内核,同时不想被侦测到,那么我们需要做的是精妙的隐藏,并保持低调静悄悄,这个话题我已经谈过了,诸如进程摘链,TCP链接摘链潜伏等等,详情参见:https://blog.csdn.net/dog250/article/details/105371830https://blog.csdn.net/dog250/art...
android 系统内存检查
u011279649的专栏
03-09 1906
1.     Introduction Android对内存的使用包括内存泄漏和内存越界,内存泄漏会导致系统内存减少,最终分配不到内存,这样大的程序就不能运行,甚至系统没有内存而崩溃。Android中kernel和应用程序都可能会有内存泄漏和越界。对于Java代码,在越界的时候虚拟机会加以检查并抛出异常。而对于C/C++代码,越界的时候就悄无声息地让程序出错或crash 2.     
Android应用方法隐藏及反调试技术浅析
Omnictech的专栏
01-23 3470
原文地址: http://www.freebuf.com/articles/terminal/75944.html 0x00 前言 Android应用的加固和对抗不断升级,单纯的静态加固效果已无法满足需求,所以出现了隐藏方法加固,运行时动态恢复和反调试等方法来对抗,本文通过实例来分析有哪些对抗和反调试手段。 0x01 对抗反编译 首先使用apktool进行反
最简单有效的隐藏文件方法
whusl的专栏
12-09 275
注:本文提供的方法仅在Windows下有效。 方法一:把文件隐藏到图片里。 1) 准备好两个文件:image.jpg(图片文件) 和 secret.rar(包含有私密内容的各种文件,可以是.rar或.zip)。 2) 把他们放到某个文件夹里,如 C:\hello\ 3) 开始--运行--cmd,打开命令行,输入 cd C:\hello\ 4) 输入 copy /b image....
linux隐藏文件导出,看我如何通过Linux Rootkit实现文件隐藏
weixin_36296063的博客
04-28 670
预估稿费:180RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言一直以来,我希望能深入了解Linux内核内部是如何工作的。为实现这一点,有一个比较好的思路是写一个小的Rootkit PoC。大家可以在这里找到相关Rootkit代码。这是一个非常简单的Rootkit。其功能是,隐藏特定前缀的文件使其不可见。然而,假如我们知道这些文件文件夹的位置,就仍然可以访问它们。但...
libc_hidden_def、libc_hidden_weak、libc_hidden_proto
私のBookShelf
06-07 1960
libc_hidden_def、libc_hidden_weak、libc_hidden_proto 在阅读glibc源码的时候,遇见了几个没见过的宏,几乎所有的函数都会使用这几个宏:libc_hidden_def、libc_hidden_weak、libc_hidden_proto 因为我比较好奇,所以特地去找了一下有关这些宏的定义(主要也是想多学一点) Linux下学习源码,最方便的地方就是它的各种命令 使用find ./ | grep -r "define libc_hidden_def",发现在in
Rootkit---进程隐藏
q759451733的博客
04-16 5083
进程隐藏
如何显示被 rootkit 隐藏进程
04-04
要显示被rootkit隐藏进程,可以使用以下方法: 1. 使用专门的rootkit检测工具,如rkhunter、chkrootkit等,这些工具可以扫描系统并检测rootkit活动。 2. 使用系统监视工具,如top、ps等,可以查看运行的进程列表,但是rootkit可能会隐藏进程,因此这些工具可能无法完全显示所有进程。 3. 使用专门的进程检测工具,如proctools、pstree等,这些工具可以显示进程的树形结构,从而更容易发现隐藏进程。 4. 手动检查系统文件和目录,查找不明文件进程,比如执行以下命令: ``` ls -al /proc ls -al /usr/bin ls -al /usr/sbin ls -al /sbin ``` 检查这些目录和文件是否存在不明文件进程。 5. 在安全模式下启动系统,这可以让你更容易发现隐藏进程文件
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值