proc文件系统下文件隐藏

最新推荐文章于 2022-04-16 15:09:33 发布

chobit_s

最新推荐文章于 2022-04-16 15:09:33 发布

阅读量1.1k

点赞数

分类专栏： kernel hacking 文章标签： struct module null file 测试 hook

本文链接：https://blog.csdn.net/chobit_s/article/details/6075801

版权

本文详细探讨了Linux proc文件系统中如何实现文件隐藏的技术，涉及struct数据结构的使用、模块编程以及null和file操作。同时，文章还介绍了针对proc文件系统的测试方法和hook技术的应用，帮助读者全面了解这一核心内核组件的工作原理。

摘要由CSDN通过智能技术生成

初读vfs，大体思路都有了，仔细分析了proc中，写个文件隐藏深入了解proc目录项的添加与创建。

1.yy原先的隐藏方法

原先的方法是考虑sys_getdents64这个系统调用，有变更内部执行流，也有hook filldir64

这个函数的。

我想写个通用的方法，就是切断要隐藏的文件与整个kernel的关系，说白了就是把文件相关结构

脱离kernel联系（比如一些文件相关链表等），具体实行起来把inode/dentry/file等等结构都

考虑到，未免太繁琐了。况且这里只是实现欺骗ls的小功能。

具体实现起来也要涉及sys_getdents64的流程（ls就用此函数）

----------

sys_getdents64

==> vfs_readdir

==> file->f_op->readdir(对于proc根目录是proc_root_readdir/proc内部子目录是proc_readdir)

==> proc_readdir:

...

do {

if (filldir(dirent, de->name, de->namelen, filp->

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

chobit_s

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

linux 如何隐藏 /proc/目录下的文件(version 2.6 其他版本没适配)

yldfree的博客

06-06

453

只为研究而用禁止用于非法行为！！！！！ /* *通过加载此模块来将/proc目录下的文件进行隐藏 * 使用方式 insmod xx.ko hidestr='xxxx' * */ #include <linux/kmod.h> #include <linux/module.h> #include <linux/init.h> #include &...

（渗透测试后期）Linux进程隐藏详解

热门推荐

qq_42882717的博客

03-27

1万+

文章目录（渗透测试后期）Linux进程隐藏详解前言Linux进程基础Linux进程侦查手段Linux进程隐藏手段一、基于用户态的进程隐藏方法1：小隐隐于/proc/pid——劫持readdir系统调用额外：加载至arm方法2：小隐隐于/proc/pid——mount 挂载二、基于内核态的进程隐藏方法3：大隐隐于内核——修改内核源码+系统调用方法4：大隐隐于内核——修改内核源码proc_pid_lookup方法5：大隐隐于内核——编写驱动/内核模块——LKM实现进程隐藏总结（渗透测试后期）Linux进程隐藏

参与评论您还未登录，请先登录后发表或查看评论

linux 在proc文件系统下创建文件

前行

06-22

4372

Android-APP 安全（五）之android取证-文件系统与数据结构

子曰小玖的博客

09-10

952

以下对Android 取证技术的讲解，整理思路取材大多来源于网络以及《Android 取证实战》一书。 Android取证：文件系统与数据结构上一篇文章已简单介绍了Andorid关于存储方式以及存储路径。这篇文章会详细介绍下Andorid文件系统与数据结构。本篇涉及比较基础底层，主要为linux内核（也就是android）文件系统的分析，看的过程可能比较枯燥~但是对于我们后面学习A...

Rootkit---进程隐藏

q759451733的博客

04-16

5136

进程隐藏

hide_file_and_proc.rar_hide_文件隐藏驱动

09-24

首先，让我们理解文件隐藏的概念。在Windows操作系统中，文件的隐藏可以通过设置文件属性来实现，但在某些情况下，用户可能希望更深入地隐藏文件，例如通过编写驱动程序。驱动程序可以直接与文件系统交互，改变文件...

linux proc 文件系统 编程手册

12-16

总之，`/proc`文件系统是Linux世界的一扇窗口，它使用户可以洞察到通常隐藏在内核中的诸多细节。这个编程手册将是你探索和利用`/proc`的宝贵资源，尤其对于初学者，它将引导你进入这个丰富的知识领域。通过深入学习...

09 定制生成proc文件1

08-08

【标题】：“09 定制生成proc文件1”探讨【内容】： Proc文件系统在Linux中扮演着至关重要的角色，它是一个虚拟文件系统...同时，了解如何定制Proc文件系统，例如隐藏进程，对于提升系统安全性和管理效率有重要价值。

python判断windows隐藏文件的方法

12-25

1. 通过windows attrib 命令获取文件隐藏属性复制代码代码如下:Syntax ATTRIB [ + attribute | – attribute ] [pathname] [/S [/D]] Key + : Turn an attribute ON – : Clear an attribute OFF pathname :...

linux枚举目录,浅析linux中目录枚举的具体实现

weixin_33573700的博客

05-02

581

浅析linux中目录枚举的具体实现如果我们知道文件名,我们可以直接输入文件名来打开它,但是如果一个目录下有什么文件我们不知道呢,那我们该怎么办呢,那就需要使用listdir先列出当前目录下包含的所有文件和目录,然后我们就可以从ls列出来的文件名中,输入需要访问的文件名进行文件访问了,这其中起到关键作用的函数一共有3个,(1).用户空间的opendir()库函数,(2).内核空间系统调用sys_ge...

驱动层SSDT 隐藏进程

ShadowAssassin的专栏

11-27

6536

闲着没事，便想在熟悉下之前看过的驱动编程相关知识，于是就写了这个简单的驱动曾隐藏进程程序。要点：在驱动层隐藏，主要还是使用SSDT挂钩的方法，相关知识，可以到网上查找，在隐藏进程时，为了能够隐藏多个进程，在内核代码中创建一个链表，结构如下： //存放要隐藏进程的名字链表 typedef struct _ProcNameLink { UNICODE_STRING ProcName; s

proc文件系统_每进程信息形成原理、目录遍历方式、位图查找

04-04

3340

我们知道在linux中，proc系统中对于每个进程都有一个进程相关的目录，里面描述了该进程各个方面详细的信息，本文探讨3个问题： 1： /proc目录下每进程子目录的形成[动态遍历当前进程列表形成] 2：每进程子目录下子目录/子文件的形成[静态数组] 3：/proc/net/子目录下子目录、子文件形成[系统初始化时形成] 内容：点击打开链接 0 首先介绍proc_dir_entry的层次

linux进程隐藏 hook readdir函数挂载覆盖/proc/pid 目录

whatday的专栏

10-24

1309

前言上篇介绍了如何在有源码的情况下，通过 argv[] 及 prctl 对进程名及参数进行修改，整篇围绕/proc/pid/目录和 ps、top 命令进行分析，做到了初步隐藏，即修改了/proc/pid/stat、/proc/pid/status、/proc/pid/cmdline 这些文件的信息，使得 ps、top 命令显示了虚假的进程信息；但是还存在一些**缺点**： 1.ps、top 命令还是显示了真实的 pid 2./proc/pid目录依然存在，/proc/pid/exe 及/pr...

隐藏文件_Linux内核Hook (隐藏文件和进程)

weixin_39791152的博客

12-31

775

作者：the_one@白帽汇安全研究院旁白：在家闲着无聊写了一个隐藏文件隐藏进程的驱动模块就是大家俗称的rootkit技术Rootkit介绍　　Rootkit 是一种特殊类型的 malware(恶意软件)。Rootkit 之所以特殊是因为您不知道它们在做什么事情。Rootkit 基本上是无法检测到的，而且几乎不能删除它们。虽然检测工具在不断增多，但是恶意软件的开发者也在不断寻找新的途径来掩盖他们...

linux filp open,内核模块中filp->open对文件的读写【转】

weixin_30240765的博客

05-25

2172

平时网络部分的东西碰的多些，这块一开始还真不知道怎么写，因为肯定和在用户空间下是不同的。google过后，得到以下答案。一般可以用两种方法：第一种是用系统调用。第二种方法是filp->open()等函数。下面分别来说下这两种方法。1 利用系统调用：sys_open,sys_write,sys_read等。其实分析过sys_open可以知道，最后调用的也是filp->open。sys_o...

Linux driver 遍历指定文件夹查找文件

Lulixue的专栏

11-29

1880

linux 应用层可以使用opendir, readdir, closedir接口进行文件夹遍历. API接口位于 linux/fs/readdir.c before 3.11 linux driver层, 则可以使用file_operation中的readdir(3.11以前)接口进行读取. typedef int (*filldir_t)(void *, const char ...

linux 内核 vfs_readdir函数的filldir_t参数简介

whatday的专栏

09-08

2347

filldir有两重含义：第一，vfs_readir的回调函数（确切的应该叫filldir_t filler)；第二，sys_getdents传递给vfs_readdir的回调函数。 filldir_t filler是在各个vfs_readir内部被回调的，由各个fs内部的read_dir实现来完成目录遍历操作，对于遍历到的每个文件或子目录，回调filler来填充buf。也就说，buf内...