Linux下进程隐藏的常见手法及侦测手段

已于 2022-08-22 10:23:58 修改
阅读量804 收藏 2
点赞数
分类专栏: Web/系统安全与溯源 文章标签: linux 服务器 网络
于 2019-04-23 16:23:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012206617/article/details/89474669
版权

痕迹清理

1.  退出前 history -c

2.  多使用sftp吧 0.0

3.  web日志删除一些

4.  用户目录下很多 history,一言不合就是删 :)

4.  btmp wtmp 这些应该删,但是我用不着删 :)

0x00.前言

进程隐藏是恶意软件隐藏自身痕迹逃避系统管理人员发现的常用伎俩之一,当然,安全防护人员有时候也会使用到,比如隐藏蜜罐中的监控进程而不被入侵者觉察等。笔者也曾在多次安全应急响应经历中遇到过多各式各样的进程隐藏伎俩,了解进程隐藏的常见手法及发现手段是每一位安全运维工程师所应掌握的知识点。本文抛砖引玉,浅谈我所了解的Linux下进程隐藏手段及发现技巧,也希望读者能够积极分享自己相关经验与技巧。

0x01.我所了解的 Linux下进程隐藏手段及侦测方法

Linux 下进程隐藏手法大体上分为两种,一种是基于用户态隐藏;一种是直接操控内核进行隐藏。

一、基于用户空间进程隐藏手法

1、偷梁换柱型

1)隐藏原理

​ 道理很简单,通过替换系统中常见的进程查看工具(比如ps、top、lsof)的二进制程序,导致原先查看进程相关信息的工具(ps、top、lsof等)都被调包了,当然看不到

2)防护手段

​ I、从干净的系统上拷贝这些工具的备份至当前系统,对比前后的输出是否一致,不一致,则说明被替换了

​ II、检测这些工具的hash值是否与系统初始化的时候值不一致,是,则说明被替换了

了解本专栏 订阅专栏 解锁全文
墨痕诉清风
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
浅谈电容式触摸感应按键技术及常见问题
10-22
市场上的消费电子产品已经开始逐步采用触摸感应按键,以取代传统的机械式按键。针对此趋势,Silicon Labs公司推出了内置微控制器(MCU)功能的电容式触摸感应按键(Capacitive Touch Sense)方案。电容式触摸感应按键开关,内部是一个以电容器为基础的开关。以传导性物体(例如手指)触摸电容器可改变电容,此改变会被内置于微控制器内的电路所侦测。   电容式触摸感应按键的基本原理   ◆Silicon Labs 现提供一种可侦测因触摸而改变的电容的方法   电容式触摸感应按键的基本原理就是一个不断地充电和放电的张弛振荡器。如果不触摸开关,张弛振荡器有一个固定的充电放电周期,频率
linux+camere.rar_opencv在arm平台上做移动侦测
09-19
arm9 Linux下基于摄像头的物体移动检测程序,可以用在门禁上,当有人经过时,自动通过基于video4linux的摄像头
DIDO移动侦测接口及辅助设备连接及配置-DIDO及辅助.docx
11-19
DIDO移动侦测接口及辅助设备连接及配置-DIDO及辅助.docx
利用进程与线程对计算机进行侦测程序.rar
11-29
利用进程与线程对计算机进行侦测程序,教学用的小程序。
Linux进程隐藏】在Linux环境下添加系统调用实现进程隐藏
qq_51720181的博客
06-25 2768
linux下添加系统调用实现隐藏进程,保姆级教学
(渗透测试后期)Linux进程隐藏详解
热门推荐
qq_42882717的博客
03-27 1万+
文章目录(渗透测试后期)Linux进程隐藏详解前言Linux进程基础Linux进程侦查手段Linux进程隐藏手段一、基于用户态的进程隐藏方法1:小隐隐于/proc/pid——劫持readdir系统调用额外:加载至arm方法2:小隐隐于/proc/pid——mount 挂载二、基于内核态的进程隐藏方法3:大隐隐于内核——修改内核源码+系统调用方法4:大隐隐于内核——修改内核源码proc_pid_lookup方法5:大隐隐于内核——编写驱动/内核模块——LKM实现进程隐藏总结 (渗透测试后期)Linux进程隐藏
Linux 隐藏进程
chi's blog
10-09 1028
这种方式属于DKoM(Direct Kernel Object Manipulation)攻击方式了,即直接内核对象操作技术。关于第一种hook方式可以参考上一篇文章。最后推荐一个rootkit工具。
【转】Linux进程隐藏常见手法侦测手段
tpriwwq的专栏
08-08 9411
Linux系统中进程隐藏常见手法侦测方法
聊一聊Linux进程隐藏常见手法侦测手段
大方子
10-01 9954
0x00.前言 进程隐藏是恶意软件隐藏自身痕迹逃避系统管理人员发现的常用伎俩之一,当然,安全防护人员有时候也会使用到,比如隐藏蜜罐中的监控进程而不被入侵者觉察等。笔者也曾在多次安全应急响应经历中遇到过多各式各样的进程隐藏伎俩,了解进程隐藏常见手法及发现手段是每一位安全运维工程师所应掌握的知识点。本文抛砖引玉,浅谈我所了解的Linux进程隐藏手段及发现技巧,也希望读者能够积极分享自己相关经验与...
Linux当中如何隐藏和查看进程
因上努力,果上随缘。但行好事,莫问前程。
09-02 7197
进程是执行程序的过程,类似于按照图纸,真正去盖房子的过程。同一个程序可以执行多次,每次都可以在内存中开辟独立的空间来装载,从而产生多个进程。不同的进程还可以拥有各自独立的IO接口。操作系统的一个重要功能就是为进程提供方便,比如说为进程分配内存空间,管理进程相关信息等等,就好像是为我们准备好了一个精美的地址。进程信息是proc目录下动态生成,每个动态创建的进程ID号下面详细的记录了关于该进程的fd,mem,io,cpuset等进程信息。
编程技术_Windows 内核级进程隐藏侦测技术-综合文档
05-19
编程技术_Windows 内核级进程隐藏侦测技术
linux创建隐藏进程6,修改linux内核达到隐藏进程目的(2.6.28)
weixin_39879881的博客
04-29 335
要求:高级操作系统与分布式系统作业ps和top命令列出了unix中当前所有进程相关信息,作业要求在linux中增加两个系统调用,功能如下:hide():执行此系统调用后,隐藏当前进程,即当前进程不能够被ps和top命令查看到。unhide():执行此系统调用后,取消隐藏当前进程,即当前进程恢复正常,能够被ps和top命令查看到。解题思路:Ps命令和top命令从/proc文件系统中读取进程信息并显...
Linux系统下如何隐藏自己的进程
Netfilter
04-02 4918
虽然并不建议直接使用root登录Linux系统,但很多时候,大家还是会用root登录,所以本文就假设你使用root登录了系统。 你想写一个进程,偷偷摸摸干点坏事,或者明目张胆地不断在屏幕上输出经理的手机号码,而这一切却又让经理要么发现不了,或者说即便被经理发现了也让他无能无力吗? 是的,你肯定想这么干,就像我一样,你唯一要做的,只是把你的这个进程隐藏掉。 隐藏进程这件事和经理无关,它是个手艺活儿。...
linux隐藏进程
最新发布
weixin_42871919的博客
10-14 638
1. 本文所用到的工具在可以下载2. 思路就是利用 LD_PRELOAD 来实现系统函数的劫持LD_PRELOAD,是个环境变量,用于动态库的加载,动态库加载的优先级最高,一般情况下,其加载顺序为 LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/lib>/usr/lib。
linux下如何隐藏进程(ps/top)
cjsycyl的专栏
11-22 2076
http://blog.csdn.net/sanbailiushiliuye/article/details/7561869 今天看了一篇外国的blog,讲的是如何在2.4内核中隐藏进程。 其核心思想就是把task->pid变成0,就成了0号进程。而在ps,top命令中,是不显示0号进程相关信息。这么一来,在/proc/文件夹下就不会有该进程相关信息了。 于是把代
linux隐藏root进程,一行代码教你如何隐藏Linux进程
weixin_35060159的博客
04-29 425
总有朋友问隐藏Linux进程的方法,我说你想隐藏到什么程度,是大隐于内核,还是小隐于用户。网上通篇论述的无外乎hook掉procfs或者类似的用户态方案,也都难免长篇大论,我说,这些场面都太大了,太复杂了。对于希望马上看到效果的而言,看到这么一堆复杂的东西,大概率望而却步。本文介绍一种将Linux进程小隐于用户的非常规方法,仅仅一行代码:修改掉进程的pid即可。注意是小隐,所以,不值得反制,逗一下...
linux进程隐藏,一行代码教你如何隐藏Linux进程
weixin_42406647的博客
04-30 749
总有朋友问隐藏Linux进程的方法,我说你想隐藏到什么程度,是大隐于内核,还是小隐于用户。网上通篇论述的无外乎hook掉procfs或者类似的用户态方案,也都难免长篇大论,我说,这些场面都太大了,太复杂了。对于希望马上看到效果的而言,看到这么一堆复杂的东西,大概率望而却步。本文介绍一种将Linux进程小隐于用户的非常规方法,仅仅一行代码:修改掉进程的pid即可。注意是小隐,所以,不值得反制,逗一下...
linux 隐藏进程,linux下如何隐藏进程(ps/top)
weixin_29635919的博客
04-28 858
相关文章今天看了一篇外国的blog,讲的是如何在2.4内核中隐藏进程。其核心思想就是把task->pid变成0,就成了0号进程。而在ps,top命令中,是不显示0号进程相关信息。这么一来,在/proc/文件夹下就不会有该进程相关信息了。于是把代码稍微做了一点改动,在2.6.18-308.4.1.el5 内核中还是好使的。上代码:#include #include #include #in...
linux隐藏特定进程,linux 隐藏进程
weixin_39638048的博客
04-28 212
2、源码如下root@ubuntu:/var/srt/libprocesshider# cat processhider.c#define _GNU_SOURCE#include #include #include #include #include /** Every process with this name will be excluded*/static const char* proc...
linux下查看隐藏进程
08-16
- *2* [聊一聊Linux进程隐藏常见手法侦测手段](https://blog.csdn.net/nzjdsds/article/details/82919100)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨痕诉清风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值