进程隐藏

最新推荐文章于 2021-07-15 14:23:29 发布
最新推荐文章于 2021-07-15 14:23:29 发布
阅读量790 收藏
点赞数
分类专栏: 杂类

进程隐藏,使用户无法通过ps,top之类的命令,得到我们需要隐藏的进程信息。ps,top也是通过读/proc下的文件来完成的。Strace可以看出:ps,top的主要操作有:open/read 文件/proc/XXX/stat和/proc/XXX/status,其中XXX是进程号;sys_getdents64。

如下图:

image

问题是我们在劫持readdir的时候,是不知道哪些进程是需要隐藏的,需要额外的信息。下面我们在仔细的看下sys_open的流程,看看对我们有什么启发。

image

也就是说在sys_open时候会调用lookup函数。但是这对我们有什么用呢?

下图揭晓谜底,看看adore的进程隐藏工作流程。

image

也就是说,hacker在需要隐藏某进程时:

1、 先建立一个/proc/hiden-XXX文件,建立的过程中会调用我们的lookup函数

2、 Lookup检测到有人建立hiden-XXX文件,就把XXX(进程号)记录在内核驱动中。

3、 Hacker马上把那个/proc/hiden-XXX文件删除掉,就当什么都没有发生过。

4、 用户ps时,调用sys_open/sys_read,被我们的Lookup拦截;调用sys_getdents64时,被我们的readdir函数拦截。

stonesharp
关注
专栏目录
隐藏进程小工具
01-13
隐藏进程,适用于win7,xp.主要用于自己进程不被别程序探测到.
图说adore-ng之进程隐藏
么刚的专栏
10-14 2420
进程隐藏,使用户无法通过ps,top之类的命令,得到我们需要隐藏进程信息。ps,top也是通过读/proc下的文件来完成的。Strace可以看出:ps,top的主要操作有:open/read 文件/proc/XXX/stat和/proc/XXX/status,其中XXX是进程号;sys_getdents64。如下图: 问题是我们在劫持readdir的时候,是不知道哪些进程是需要隐藏
两个linux内核rootkit--之二:adore-ng
Netfilter
02-09 6924
这个rootkit使用的技术不比前一个,它不是拦截系统调用,而是拦截具体文件系统的回调函数,本身文件系统的回调函数就是动态注册的,很是不确定,那么反黑软件自然就不能简单下结论说这个函数被黑掉了,因此这个rootkit看来比前一个略胜一筹,自然的,既然是内核模块,那么模块隐藏也是一个重要的内容,以下是一个简单的模块隐藏代码,使用此代码的前提就是将此模块紧接着希望被隐藏的模块之后加载: ...//省
Linux下木马程序隐藏进程实战
qq_42499737的博客
07-15 977
实验环境 本实验在6.x的操作系统上完成: [root@gaosh-1 ~]# cat /etc/redhat-release CentOS release 6.9 (Final) Rootkit概述 Rootkit概述:Rootkit 是指在已获得系统最高权限的情况下,一种用来保持对目标系统最高访问权限并隐藏攻击行为的工具集. Rootkit 是一个典型的木马软件,广泛存在于多种操作系统之中。Rootkit 工具一般由多个程序组成,包含各种辅助攻击的工具。例如,网络嗅探工具,用来截获在网络上传输的信息
HideProcess完结篇.zip_c++ 进程隐藏_c++隐藏进程_隐藏进程_隐藏驱动_驱动隐藏进程
07-15
在IT领域,进程隐藏是一种高级技术,主要用于提升软件的安全性和隐私保护。本资源"HideProcess完结篇.zip"聚焦于C++编程实现的进程隐藏及驱动级隐藏技术。这些技术涉及操作系统内部工作原理,特别是Windows系统,是...
天狼进程隐藏工具1.2.7z
02-04
【天狼进程隐藏工具1.2】是一款专为计算机专业人士设计的系统工具,主要用于在操作系统中隐藏特定的进程,使得这些进程在任务管理器中变得不可见,增加了系统的隐蔽性和安全性。这一工具对于系统管理员、安全研究...
进程隐藏工具
07-25
进程隐藏工具是一种软件技术,主要用于在操作系统中隐蔽特定的进程,使其不被普通用户或恶意软件检测到。这种工具在网络安全、系统管理以及隐私保护等领域有一定的应用,但也可能被滥用,用于恶意活动如隐藏病毒、...
易语言-进程隐藏之断链隐藏易语言例程
06-25
在“易语言-进程隐藏之断链隐藏易语言例程”中,我们主要讨论的是如何利用易语言来实现进程隐藏,这是一种常见的系统编程技巧,特别是在开发隐形软件或者防反调试时会用到。 进程隐藏技术的核心在于改变或规避...
VT_X64(VT 支持x64的源码).rar_64位进程保护_VT_Vt进程隐藏_vt源码_进程保护
07-15
“VT_Vt进程隐藏”是指通过VT技术实现对进程隐藏,使得其他程序或恶意软件难以检测到这些进程的存在。这在某些安全或隐私敏感的应用场景中非常重要,比如防病毒软件或保密系统的进程可能需要这样的隐藏保护,以...
adore-ng linux rootkit
05-12
老牌linux rootkit工具 该版本能稳定运行在内核2.4-2.6中
adore-ng-master.zip
02-13
Adore-ng 木马病毒所需软件包其中之一:adore-ng-master.zip,大胆放心使用,不需要积分,只求浏览博客时留下您的评论和点赞,谢谢!
adore-ng源码
03-02
Adore-ng-0.41具备以下几个功能 1. 文件隐藏 2. 进程隐藏 3. 端口隐藏 4. 清理犯罪现场 5. 获得root权限
隐藏进程(在任务管理器中看不到
07-22
隐藏进程(在任务管理器中看不到,免杀处理用,源码可以自己改,很牛逼的东西,自己写的发出来分享一下
图说adore-ng之端口隐藏
么刚的专栏
10-20 2156
端口隐藏,使用户无法通过netstat之类的命令,得到我们需要隐藏的端口信息。netstat是通过读/proc/net下的文件来完成的。Strace可以看出:netstat的主要操作有:open/read  文件/proc/net/tcp,/proc/net/udp,/proc/net/raw ……,如下图:adore-ng的实现:  adore默认隐藏的是tcp协议的端口
Adore-ng的使用
coutuo2575的博客
08-11 368
1、下载资源adore-ng-0.56.zip另外一个工具包,更简单ddrk.tgz 直接运行setup PASS PORT就可以了2、安装内核开发包yum -y install kernel-devel3、对内核软连接ln -...
Rootkit 之 adore-ng 模拟木马病毒
02-13 1643
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。 在我们生活中,经常看的电视剧谍战片里有一个必不可少的人物——卧底。它的职责就是:良好的伪装使得对手对此长时间毫无察觉;他赢得敌人的信任并因此身居要职,这使得他能够源源不断地获取重要情报并利用其独特渠道传送回去。 而我们今天要模...
Adore-ng使用简介
05-29 1215
Team: D.S.T 数据安全中心这是个adore-ng的简单安装使用指南,如果是老鸟就不用看了,呵呵adore-ng是一款优秀的LKM rootkit,可以从http://stealth.openwall.net/rootkits/ 这里下载到它的最新版本。目前最新版的是0.54,能够在2.4 -2.6内核下使用,并且稳定性十分好。下面我们通过一步步的演示来揭示它强大的功能.1.以ro
linux后门系列之adore-ng
05-29 1829
前言:kernel 2.6已经大步走入linux的世界,写后门的和用后门的也得跟上潮流。简写约定:fc:fedora corerh:red hatrhel4:red hat enterprise linux 4sk:suckitadore:adore-ngrk:rootkitlkm:loadable kernel modules什么是adore-ng?一个LKM rk,google ado
VC++实现进程隐藏技术
"VC隐藏进程资料" 在Windows操作系统中,隐藏进程是一种技术,通常用于提升程序的安全性或保护隐私,但也可能被恶意软件利用来进行隐蔽操作。本资料提供了使用Visual C++ (VC++)来实现隐藏进程的方法。隐藏进程通常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值