扫描slab找出被隐藏的task_struct或者随便别的什么

最新推荐文章于 2022-09-07 21:45:00 发布
最新推荐文章于 2022-09-07 21:45:00 发布
阅读量1w 收藏 5
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dog250/article/details/106039799
版权

如果一个进程被隐藏了,如何把它检测出来?

这里给出一种100%可以检测成功的方法:
https://blog.csdn.net/bin_linux96/article/details/105889045

代码在那篇文章中已经给出了,我这里就不赘述了。

我在本文中所写的,是对上述文章的补充。

其实我们大可不必去扫描内存,我来解释一下这是为什么。

黑客的攻击对象,或者说所有的被攻击对象,95%以上甚至99%的都是小白用户,我说过不止一次,如果你拿任何黑客技术去挑战安全专家,那基本都是惨败,充其量势均力敌,然而大部分中招的用户都不是安全专家!

包括大型互联网公司在内的绝大多数公司的IT资源,在黑客眼里,基本都是裸奔!这绝不是危言耸听!在KPI大于天的大型公司,聚个餐,旅个游都要带着开着机的电脑,一脸疲惫的倦客,你指望他们会去关注安全??没出事都是侥幸心理,千万别耽误我上线!谁TM会在上线的组件里加哪怕100行代码去做一个可能万年不会触发的逻辑!谢天谢地!

这就是黑客的机会。技术的背后,99%的都是心理学!

扯的太多不好,毕竟大象无形,大道至简,我还是直接上代码吧,下面的代码可以99%找出被隐藏的进程,我采用的方法是扫描slab缓存,背后的假设是, 即便是被隐藏的进程,它也是通过正常的fork/vfork调用被创建的。

#include <linux/module.h>
#include <linux/kallsyms.h>

#define for_each_object(__p, __s, __addr, __objects) \
	for (__p = (__addr); __p < (__addr) + (__objects) * (__s)->size;\
			__p += (__s)->size)

void list_task(struct kmem_cache *s, struct page *page)
{
	void *addr;
	void *p;

	addr = page_address(page);
	for_each_object(p, s, addr, page->objects) {
		struct task_struct *p1 = (struct task_struct *)p;
		printk("##### %s   %d   \n", p1->comm, p1->pid);
	}
}

void list_cpu_partial(struct kmem_cache *s)
{
	struct page *page;
	void *addr;
	void *p;
	int cpu;

	for_each_possible_cpu(cpu) {
		struct kmem_cache_cpu *c = per_cpu_ptr(s->cpu_slab, cpu);

		page = c->partial;
		if (!page)
			continue;
		addr = page_address(page);
		for_each_object(p, s, addr, page->objects) {
			struct task_struct *p1 = (struct task_struct *)p;
			printk("cpu partial %s   %d   \n", p1->comm, p1->pid);
		}
	}


	for_each_possible_cpu(cpu) {
		struct kmem_cache_cpu *c = per_cpu_ptr(s->cpu_slab, cpu);
		void *addr;
		void *p;

		page = c->page;
		if (!page)
			continue;
		addr = page_address(page);
		for_each_object(p, s, addr, page->objects) {
			struct task_struct *p1 = (struct task_struct *)p;
			printk("cpu page %s   %d   \n", p1->comm, p1->pid);
		}
	}
}

static int __init listtask_init(void)
{
	//struct kmem_cache *s = (struct kmem_cache *)0xffff88003e041100;//(struct kmem_cache *)kallsyms_lookup_name("task_struct_cachep");
	struct kmem_cache *s = *(struct kmem_cache **)kallsyms_lookup_name("task_struct_cachep");

	struct page *page, *prev = NULL;
	struct task_struct *p;

	for_each_process(p) {
		// 在既有task页面的slub里找
		page = virt_to_page((void *)p);
		if (page != prev && page->objects != 32767) {
			list_task(s, page);
			prev = page;
		}
	}
	// 在新的freelist和partial里找。
	// 注意,有漏洞!如果被隐藏task是一个新的slub page的第一个obj,那么还是能逃过!!!
	list_cpu_partial(s);
	// ... 所以!这里我还漏了除了cpu slub之外的别的,刘着补充
	// 我实在是没有时间了,还要给安德森先生喂饭,还要给小小检查数学作业...
	// 我太忙了...
	return -1; // oneshot load!
}
module_init(listtask_init);
MODULE_LICENSE("GPL");

来来来,试一下。

用我前面的强力方法隐藏一个进程,摘链,然后…

[root@localhost test]# ps -e|grep loop
[root@localhost test]# echo $?
1
# 然而...
[root@localhost test]# insmod listt.ko
insmod: ERROR: could not insert module listt.ko: Operation not permitted
# 哈哈,哪里逃!
[root@localhost test]# dmesg |grep loop
[  811.582915] ##### loop_sleep   2842

所以,想要隐藏自己的进程,千万不要用slub分配task,也就是不要用fork的copy_process了,说白了就是不要在task_struct_cachep里分配task。所以,要用alloc_pages,或者,至少用kmalloc(8192, …)来混淆试听,详见:
https://blog.csdn.net/dog250/article/details/105939822

其实,我还是要说几句, 绝大部分的运维和网工基本都是靠日志,系统监控机制这种来检测系统,然而等到他们发现事情不对时,黑客早就得手溜之大吉咯。 我在跟朋友(本文引文的作者)聊天时说,港片里演的,警察总是刚到现场就收队…

如果警察盯着古惑仔们的一举一动,谁敢造次?

给经理网购一只¥18000的皮鞋,一条¥49899的西裤,送到经理家,货到付款!这属于社会工程学,但值得一试。

浙江温州皮鞋湿,下雨进水不会胖!
浙江温州皮鞋湿,下雨进水不会胖!

dog250
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
嵌入式系统e_slab的研究与实现
01-19
随着硬件技术的发展和内存容量的扩大,操作系统中内存管理技术日趋完善。但是在嵌入式领域中,硬件性能和内存容量远远落后于PC机,其内存管理受到多种因素制约,若直接采用操作系统中的内存管理技术,不仅难以达到预期效果,而且会影响嵌入式系统的性能。   在嵌入式系统内存管理设计过程中,发现操作系统中的slab分配器虽然在PC机上有良好的性能,但是在嵌入式系统中不但不能发挥其优势,还降低了系统的整体性能。本文通过分析,指出了slab分配器的不足,并给出相应的解决方案。实验结果表明,slab分配器经过改进可适用于嵌入式系统。   1 slab分配器分析   操作系统内核运行时会频繁地为某些对象分配内存
gonglvfenbu.rar_AWG _matlab 波分复用_multiplexer_slab waveguide_波分复用
07-15
本程序为基于AWG波分复用器中平板波导连接接口中的光功率分布
dump出Linux内核所有的slab对象缉拿内核Rootkit
Netfilter
05-20 4263
前面的文章介绍了很多种隐藏进程,隐藏TCP连接,隐藏内核模块的方法,总结起来和大多数网上介绍Rootkit的文章种介绍的方法不同点在于: 网上大多数文章均是hook procfs来达到隐藏对象的目的。 我的方法则是直接将对象从链表等数据结构中摘除。 无疑,我的方法更简单,因为很显然,hook procfs需要修改大量关于VFS API调用相关的代码。 但是,跑了和尚跑不了庙,虽然进程,TCP连接,内核模块等摘了链表,它还是在slab中啊!我们只需要dump特定的slab对象,就能找到它们: dump出
slab着色--一种必然认输的妥协
Netfilter
02-09 9874
在最新的linux2.6.28内核当中已经不见slab着色的踪迹了,记得研究2.6.9的时候,我还为理解slab着色大伤脑筋,而实际上我当时根本没有理解它的设计初衷以及最终的效果,只是把它当成了一个纯粹的“算法”来玩,还玩得不亦乐乎...       slab的目的是什么?其实它是为了在软件缓存和硬件缓存冲突的时候达成的一种妥协,而普遍的观点是只有相互平等的当事者才具有妥协的可能,如果关系根本
linux kernel内核slab内存泄露debug经验
thwack的专栏
04-09 8924
1. 打开内核的SLUB DEBUG选项+CONFIG_SLUB_DEBUG=y+CONFIG_SLUB_DEBUG_ON=y2. 观察slabinfocat /proc/slabinfo启动后记录下slabinfo。运行一段时间,再观察slabinfo。找到增长比较大的slab。3. 打开slab traceecho 1 &gt; /sys/kernel/slab/&lt;leaking_sla...
vmalloc kmalloc slab native和kernel 内存泄漏
aa541850383的专栏
06-14 606
vmalloc kmalloc slab native和kernel内存泄漏
Linux socket系统调用(三)----tcp_sock、sock、socket结构体以及TCP slab缓存建立
Blue summer的博客
02-23 3527
在内核协议栈初始化时—-inet_init()函数,注册了内置的几种协议(TCP,UDP,RAW,PING),同时为每种协议申请slab高速缓存。 static int __init inet_init(void) { ... rc = proto_register(&amp;amp;tcp_prot, 1); if (rc) goto out_free_reserv...
betaplot.rar_slab_slab waveguide_wave_wave number_waveguide
07-13
calculate wave number versus frequency in a slab waveguide
fdtd_2d_TM_2.rar_2D FDTD_Free space_dielectric slab_fdtd 2D TM_f
07-14
2D FDTD free space propagation striking dielectric slab on right side
FDTD_1D_2Media.zip_EM wave_FDTD_1D_2Media_plane wave_slab_wave
07-14
This program is ploting EM Plane wave propagation and reflection from Dielectric slab
多核心Linux内核路径优化的不二法门之-slab与伙伴系统
Netfilter
09-16 9069
作为这个系列的第一篇,我先来描述一下slab系统。因为近些天有和同事,朋友讨论过这个主题,而且觉得这个主题还算比较典型,所以就作为第一篇了。其实按照操作系统理论来讲,进程管理应该更加重要些,按照我自己的兴趣来讲,IO管理以及TCP/IP协议栈会更加有分量,关于这些内容,我会陆续给出。       Linux内核的slab来自一种很简单的思想,即事先准备好一些会频繁分配,释放的数据结构。然而标准的s
linux内核slab
sy4331的博客
09-11 433
需求背景 在linux中我们通常需要自行动态申请、释放内存。对于某些应用场景,如进程描述(task_struct结构)、索引节点对象(struct inode)存放,我们往往需要经常性申请、释放。如果我们直接这么操作的话,频繁地申请、释放内存必然带来效率的降低和管理的不便。 如果我们应用场景的内存块自行建立一个空闲链表专门用于回收释放的内存,当需要使用时再从空闲链表中取出,这样就减少了实际申请、释放内存次数,大大提高了内存管理效率。linux内核中slab层正是基于上述思想创建。slab层不仅能解决内存
Linux内存管理源码剖析(三)
Tryturned
02-18 340
从fork系统调用开始讲述小块内存分配机制的原理 。同时简单介绍了分配小块内存的slub allocator技术如何维护一个缓存块,即当空间足够时如何管理,不够时如何申请。
slab分配器分配task_struct结构
hshopeful
08-26 1623
Linux通过slab分配器分配task_struct结构,这样能达到对象复用和缓存着色的目的 分配和释放数据结构是所有内核中最普遍的操作之一。为了便于数据的频繁分配和回收,编程者常常会用到一个空闲链表。该空闲链表包含可供使用的、已经分配好的数据结构块。当代码需要一个新的数据结构实例时,就可以从空闲链表中取出一个,而不需要分配内存、再把数据放进去。以后,当不再需要这个数据结构的实例时,就
Slab块分配器详解
qq_41952309的博客
09-07 1411
slab块分配器学习笔记——包括slab思想及数据结构、高速缓存描述符结构、每处理器数组缓存、内存回收等内容。
linux内存管理(七)-slab分配器
jianjian的博客
06-10 1908
linux内存三大分配器:引导内存分配器,伙伴分配器,slab分配器 三、slab分配器 1.slab allocator的作用 <1>能够分配更小块的内存,可以帮助消除buddy allocator原本会造成的内部碎片问题 <2>缓存常用的object,因此内核不会在分配, 初始化和销毁object上浪费时间。 <3>通过将object地址与L1或者L2硬件cache对齐后可以更好的利用硬件缓存 2.slab allocator的原理 slab allocator由ca
内核中查看task_struct结构体教程
melody_1016的博客
12-03 2548
在linux下,路径:/usr/src/kernels/3.10.0-327.el7.x86_64(这个是自己kernels目录下的)/include/linux/sched.h 用管道命令查找: [lk@localhost linux]$ grep -n task_struct sched.h  结果显示出来很多,不好找 直接打开sched.h文件 [lk@localhost...
Linux进程内核栈
newnewman
05-13 1217
linux 内核栈 alloc_thread_info宏以获取一块空闲的内存区,用以存放新进程的thread_info结构和内核栈
详解Linux中的进程描述符task_struct
yangle4695的博客
06-05 4961
进程是处于执行期的程序以及它所管理的资源(如打开的文件、挂起的信号、进程状态、地址空间等等)的总称。注意,程序并不是进程,实际上两个或多个进程不仅有可能执行同一程序,而且还有可能共享地址空间等资源。 Linux内核通过一个被称为进程描述符的task_struct结构体来管理进程,这个结构体包含了一个进程所需的所有信息。它定义在linux-2.6.38.8/include/linux/sche
void __init proc_caches_init(void) { sigact_cachep = kmem_cache_create("signal_act", sizeof(struct signal_struct), 0, SLAB_HWCACHE_ALIGN, NULL, NULL); if (!sigact_cachep) panic("Cannot create signal action SLAB cache"); files_cachep = kmem_cache_create("files_cache", sizeof(struct files_struct), 0, SLAB_HWCACHE_ALIGN, NULL, NULL); if (!files_cachep) panic("Cannot create files SLAB cache"); fs_cachep = kmem_cache_create("fs_cache", sizeof(struct fs_struct), 0, SLAB_HWCACHE_ALIGN, NULL, NULL); if (!fs_cachep) panic("Cannot create fs_struct SLAB cache"); vm_area_cachep = kmem_cache_create("vm_area_struct", sizeof(struct vm_area_struct), 0, SLAB_HWCACHE_ALIGN, NULL, NULL); if(!vm_area_cachep) panic("vma_init: Cannot alloc vm_area_struct SLAB cache"); mm_cachep = kmem_cache_create("mm_struct", sizeof(struct mm_struct), 0, SLAB_HWCACHE_ALIGN, NULL, NULL); if(!mm_cachep) panic("vma_init: Cannot alloc mm_struct SLAB cache"); }
最新发布
06-07
然后,创建一个名为 "vm_area_struct" 的 kmem_cache,用于存放进程内存映射区域的数据结构 vm_area_struct。最后,创建一个名为 "mm_struct" 的 kmem_cache,用于存放进程地址空间的数据结构 mm_struct。如果在创建...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值