么刚的专栏

如果一个木马要隐藏起来，不被系统管理员发现。截获系统调用似乎是必须的。大部分情况下，通过修改系统调用表来实现系统调用的劫持。下面是一个典型的截获系统调用的模块：模块一：#include #include #include #include #include #include #include #include #include MODULE_LICENS

gcc中常见预定义宏的使用。

iptables/netfilter概述；iptables常用命令；netfilter内核数据结构、实现原理以及netfilter的利用。

TCP的核心协议(滑动窗口、拥塞控制、慢启动、快速重传、快速恢复、Nagle算法、捎带ACK等)在lwip中的实现。

openssl证书制作及编程

公钥、私钥、证书的概念、生成过程和使用方法。

用linux C 下的函数调用创建中文目录、文件等，字符串的编码格式要求是utf-8格式的。 比如想要使用 int mkdir(const char *pathname, mode_t mode); 创建一个中文的目录。那么pathname的编码格式要求是utf-8的，而不能是gb3212/gbk的，否则就是乱码。 那么如果linux C下如何进行gbkutf-8编码转换的编码装换

最近在调试linux内核驱动，宕机无数次。关于linux的死法也有些心得。 1、嘎嘣儿脆型。     特点：啥提示也没有，说宕就宕，/var/log/messagesXXX,里边啥提示信息也没有。     原因：八成是你自己没玩儿好，在kernel里边内存越界了。还有两成是超过了linux核心栈8K的限制。2、半死不活型。     特点：ssh不上，但是ping是能ping

函数说明： kthread_create：创建线程。struct task_struct *kthread_create(int (*threadfn)(void *data),void *data,const char *namefmt, ...); 线程创建后，不会马上运行，而是需要将kthread_create() 返回的task_struct指针传给wake_up_pr

 标题很拗口。这两天在折腾这个事，把折腾的结果记录一下。 先说在应用层怎么搞这个事，很简单：#include #include int main() { char link[100], path[100]; sprintf(link, "/proc/%d/exe", getpid()); readlink(link, pat

 原文（繁体中文）：http://don.7mix.net/archives/192 安裝 DazukoFS：DasukoFS官网：http://dazuko.dnsalias.org/wiki/index.php/Main_PageDazukoFS下载：http://dazuko.dnsalias.org/wiki/index.php/Downloads# uname -a

端口隐藏，使用户无法通过netstat之类的命令，得到我们需要隐藏的端口信息。netstat是通过读/proc/net下的文件来完成的。Strace可以看出：netstat的主要操作有：open/read  文件/proc/net/tcp,/proc/net/udp,/proc/net/raw ……，如下图:adore-ng的实现：  adore默认隐藏的是tcp协议的端口

进程隐藏，使用户无法通过ps，top之类的命令，得到我们需要隐藏的进程信息。ps，top也是通过读/proc下的文件来完成的。Strace可以看出：ps，top的主要操作有：open/read 文件/proc/XXX/stat和/proc/XXX/status，其中XXX是进程号；sys_getdents64。如下图： 问题是我们在劫持readdir的时候，是不知道哪些进程是需要隐藏的

文件隐藏说到底就是让ls、find一类的操作所返回的结果中没有需要隐藏的文件、目录。而ls、find本质上是对目录的读操作。我们要劫持它的读操作函数，让它读不出来。那读操作那个函数在哪呢？见下图。 上图是以普通文件为例说明的，目录也是类似的。只不过名字不同叫ext2_dir_operations和ext2_dir_inode_operations。说来说去怎么修改呢？见下图。

Linux2.6X内核中文件相关结构体总结一、 常见文件相关结构体以2.6.22为例，其他的2.6.X版本可能调整，但是变化不大。1.1 struct filestruct file结构体定义在include/linux/fs.h中定义。文件结构体代表一个打开的文件，系统中的每个打开的文件在内核空间都有一个关联的struct file。它由内核在打开文件时创建，并传递给在文件上进行

netlink socket编程之why & how 作者: Kevin Kaichuan He@2005-1-5 翻译整理:duanjigang @2008-9-15duanjigang1983@126.com>原文: http://www.linuxjournal.com/article/7356   开发和维护内核是一件很繁杂的工作，因此，只有那些最重要或者与系统性能息息相关的代码才将其安排

    最近用了一下netlink，比较方便。特将netlink编程中的注意事项列下：    1、选一个没有用到的协议类型，注意要避开netlink.h中已经定义好的类型。注意保证内核层和用户层的协议类类型的一致。也就是说内核层创建netlink函数netlink_kernel_create的第一个参数和用户层创建socket的socket函数的第三个参数要一致。否则是不能建立连接的。  

#ifndef SLEEP_MILLI_SEC#define SLEEP_MILLI_SEC(nMilliSec) /do { /long timeout = (nMilliSec) * HZ / 1000; /while(timeout > 0) /{ /timeout = schedule_timeout(timeout); /} /}while(0);#e

下面是转载的部分。在进行ps验证的时候，可以用 ps xj参数更为直观。=====================================================对于linux运维，我们都是使用ssh登录到服务器，如果我们运行的任务需要很长时间或不间断运行，在我们直接关闭终端窗口或网络不稳定的情况下，任务就会中断，当然这只对于普通程序，不包括如mysqld,httpd这样的