Linux上隐藏进程名(初级版)

最新推荐文章于 2024-07-15 11:22:38 发布
最新推荐文章于 2024-07-15 11:22:38 发布
阅读量596 收藏
点赞数
分类专栏: c++ 文章标签: setproctitle fork linux cmdline proc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013051748/article/details/109399528
版权
本文介绍了如何在Linux中使用prctl函数和修改argv[0]来改变和隐藏进程名,以达到初级的进程隐藏效果。通过分析/proc/目录下的cmdline和status文件,揭示了ps命令获取进程名的来源。示例代码展示了如何实现隐藏进程,并讨论了进一步隐藏进程的可能性。
摘要由CSDN通过智能技术生成

缘起

上一篇博文 模仿nginx修改进程名 中提到了一种修改进程名的方法,就像 nginx 一样,给不同进程命名为 master 以及 worker 等。那么能不能把新进程名设置为空字符串呢?如果能,又会有哪些应用场景呢?

答案可能是能的,设置新进程的名字为空,通常用来隐藏进程,用于攻击或者反攻击。

prctl 函数

上一篇博文 模仿nginx修改进程名 文章末尾提到了 prctl 这个函数,它也可以用来修改进程名。

只不过如果单单使用 prctl 来修改进程名的话,使用 ps 或者 top 等工具看到的可能还是原来的名字。

源代码可以在我的 github 找到:

https://github.com/smaugx/setproctitle/blob/main/hidden_process/prctl_main.cc

#include <cstdio>
#include <cstdlib>
#include <cstring>
#include <unistd.h>
#include <sys/prctl.h>

int main(int argc, char* argv[], char *envp[])
{
    const char *new_title = "prctl_new_name";
    prctl(PR_SET_NAME, new_title, NULL, NULL, NULL);
    while (true) {
        sleep(2);
    }
    return 0;
}

编译运行:

#  g++ prctl_main.cc   -o  prctl_main -std=c++11
# ./prctl_main

然后我们查看一下进程的名字:

# ps -ef |grep prctl
root     20758 12289  0 17:39 pts/3    00:00:00 ./prctl
最低0.47元/天 解锁文章
rebootcat
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(渗透测试后期)Linux进程隐藏详解
qq_42882717的博客
03-27 1万+
文章目录(渗透测试后期)Linux进程隐藏详解前言Linux进程基础Linux进程侦查手段Linux进程隐藏手段一、基于用户态的进程隐藏方法1:小隐隐于/proc/pid——劫持readdir系统调用额外:加载至arm方法2:小隐隐于/proc/pid——mount 挂载二、基于内核态的进程隐藏方法3:大隐隐于内核——修改内核源码+系统调用方法4:大隐隐于内核——修改内核源码proc_pid_lookup方法5:大隐隐于内核——编写驱动/内核模块——LKM实现进程隐藏总结 (渗透测试后期)Linux进程隐藏
linux初级命令备忘录中文.pdf
07-21
Linux是世界上最广泛使用的开源操作系统之一,对于开发人员和系统管理员来说,熟悉其基本命令是至关重要的。本备忘录旨在帮助对Linux感兴趣的人员快速掌握一些常用命令,以便于日常操作和开发工作。 1. **SSH ...
linux隐藏特定进程,linux 隐藏进程
weixin_39638048的博客
04-28 229
2、源码如下root@ubuntu:/var/srt/libprocesshider# cat processhider.c#define _GNU_SOURCE#include #include #include #include #include /** Every process with this name will be excluded*/static const char* proc...
渗透测试之Linux进程隐藏(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
07-15 569
Linux服务器上获取root用户权限后,可以通过挂载覆盖/proc/pid目录来隐藏进程,使其在ps和top命令的输出结果中消失。同时,可以利用LD_PRELOAD环境变量劫持系统函数,通过自定义动态链接库来控制不显示指定进程,从而隐藏进程的存在。在渗透测试中,权限维持是很重要的环节。拿下目标后,无论是搜集信息,还是作为跳板,都需要长久的获取这台机器的权限。这时候,我们需要考虑Shell的“持久战”!
一行代码如何隐藏 Linux 进程
程序员小乐
09-11 548
点击上方 "程序员小乐"关注,星标或置顶一起成长每天凌晨00点00分,第一时间与你相约每日英文n prosperity, our friends know us;In...
Linux系统中彻底隐藏你的进程(隐藏后如何恢复显示?)
Netfilter
04-07 6365
在前文中,我展示了一个超级简单的rootkit辅助工具: https://blog.csdn.net/dog250/article/details/105292504 在这篇文章中,一旦进程隐藏了,很难恢复。言外之意就是,这是最底层的隐藏,而不是靠hook那些procfs接口之类的方式。 我们已经把进程从链表中摘除,那么该进程便无法被遍历到,如何恢复它呢?换句话说,我自己给自己出了个难题,如果我...
linux 清理废弃进程,Linux 痕迹清理 & 隐藏进程
weixin_26731219的博客
05-02 220
1. 偷换系统二进制文件( ps , top 等)防范: 比对hash;系统完整性检查工具,比如tripwrie、aide等2. 修改hook调用函数 (修改命令返回结果,原函数getdents)防范: sysdig(开源),检测LD_PRELOAD环境变量是否有异常,ld.so.preload文件异常(时间,大小)3. 修改进程字防范: /proc目录,查看exe的指向(ls -al x...
【应急基础】————3、mount-bind隐藏端口和进程
Fly_鹏程万里
02-22 1069
创建文件夹 挂不上,一想是因为前几天测试sudo提权的时候把selinux打开了 然后再看一下,ps和netstat看不到了。 大小变成了4096 修复: 检查mount: 1)/proc/mounts 2)/proc/$$/mountinfo [root@server120 tmp]# cat /proc/$$/mountinfo | grep 353...
Linux完整教程(初级教程).CHM
03-13
在学习Linux初级教程时,还会涉及一些关键概念,比如shell(如bash)、环境变量、脚本编写以及进程管理等。熟悉这些基础知识后,你将能够更有效地使用Linux系统,并为进一步深入学习打下坚实基础。 压缩包中的...
linux基本命令(初级入门-绝对实用).pdf
01-12
Linux是开源的操作系统,对于IT行业的专业人士来说,掌握其基本命令是至关重要的。这份文档是针对Linux初学者的,旨在介绍一系列常用的Linux命令,帮助快速入门。以下是对这些命令的详细解释: 1. **文件传输**: ...
linux常用命令
10-23
Linux操作系统是许多IT专业人士的基础工具,对于初学者来说,熟悉并掌握常见的Linux命令至关重要。Linux文件系统的目录结构遵循一定的标准,通常称为FHS(Filesystem Hierarchy Standard),它定义了各个目录的主要...
一行代码教你如何隐藏Linux进程
01-09
总有朋友问隐藏Linux进程的方法,我说你想隐藏到什么程度,是大隐于内核,还是小隐于用户。 网上通篇论述的无外乎hook掉procfs或者类似的用户态方案,也都难免长篇大论,我说,这些场面都太大了,太复杂了。对于希望马上看到效果的而言,看到这么一堆复杂的东西,大概率望而却步。 本文介绍一种将Linux进程小隐于用户的非常规方法,仅仅一行代码: 修改掉进程的pid即可。 注意是小隐,所以,不值得反制,逗一下高级会议工程师搞个恶作剧玩玩得了。 target->pid = 0x7fffffff; 完整的脚本如下: #!/usr/bin/stap -g # hide.stp global pid
5种方法得到所有进程(包括隐藏进程
11-07
VB使用5种方法得到所有进程(包括隐藏进程),2000系统下可能不能使用,判断系统本如果是2K以下的系统就报错退出,获取Debug权限这是必须的。获取常规下的进程,打印进程、判断指定进程是否为隐藏进程……   以下5种方法在Windows NT各个本上都有:   NT 5.1 新增的:   获取KdVersionBlock,从内核空间拷贝到用户空间,或者从用户空间拷贝到用户空间,但是不能从用户空间拷贝到内核空间,从物理地址拷贝到用户空间,不能写到内核空间,读写处理器相关控制块,读写端口,读写总线数据,枚举Kernel Module函数,判断Nt系列函数是否调用成功,创建一个ACE,允许当前用户读写PhysicalMemory
Linux 进程隐藏
04-26
NULL 博文链接:https://tcspecial.iteye.com/blog/2361998
linux ubuntu 的初级教程
02-04
- **隐藏文件**:以`.`开头的文件视为隐藏文件,不在默认视图中显示。 - **文件类型**:通过权限位判断文件类型,如可执行文件、目录、链接等。 - **权限**:用rwx表示读、写、执行权限,通过`chmod`命令更改。 **...
[Linux从无到有] 进程
Legwhite的博客
12-17 1159
文章目录1. 进程1.2 PCB1.2.1上下文数据1.2.2 内存指针1.2.3状态pid和ppid与fork(创建进程)与标识符1.2.4优先级1.2.6 程序计数器 1. 进程 大家应该对任务管理并不陌生吧,有时候app卡死了我们就需要手动去吧这个app杀死,但仔细看会发现他上面写的是进程 简单来说,一般点开app就是把软件的代码和数据加载到内存中,这样算是一个进程了,但是其实内部还进行了更多的操作,他还会为这个代码创建一个PCB(sask_struct) 1.2 PCB 什么是PCB? 进程
创建一个linux空白进程,进程进程管理工具
weixin_35620685的博客
05-08 438
一、进程1.内核的作用:进程的管理、文件系统、网络功能、内存管理、驱动程序、安全功能等。然后其中进程的管理是其中重要的一块。2.进程跟程序:进程和程序是同一事物的不同时刻,进程是运行中的程序的一个副本,是被载入内存的一个指令集合。进程有它自己的进程ID号(PID)来标识。3.task struct是Linux内核存储进程信息的数据结构格式,而多个task struct组成的链表就形成task li...
怎么解决Linux空白进程的问题(-- process information unavailable)
qq_37455179的博客
04-25 1283
很多时候Linux用久了打开JPS查看进程就会发现有很多不明来历的空白的进程或者叫【-- process information unavailable】的进程,放着不管也没关系,但是每次打开JPS难免会强迫症发作。。。。。所以今天就分享一下怎么解决这些空白进程。 其实这些进程都是程序操作不当,没有正常关闭进程所导致的,那么该怎么解决? 由于这些进程是依赖于PID文件运行的,所以只要把这些...
聊一聊Linux进程隐藏的常见手法及侦测手段
热门推荐
大方子
10-01 1万+
0x00.前言 进程隐藏是恶意软件隐藏自身痕迹逃避系统管理人员发现的常用伎俩之一,当然,安全防护人员有时候也会使用到,比如隐藏蜜罐中的监控进程而不被入侵者觉察等。笔者也曾在多次安全应急响应经历中遇到过多各式各样的进程隐藏伎俩,了解进程隐藏的常见手法及发现手段是每一位安全运维工程师所应掌握的知识点。本文抛砖引玉,浅谈我所了解的Linux进程隐藏手段及发现技巧,也希望读者能够积极分享自己相关经验与...
linux查看隐藏进程
03-16
可以使用命令 ps aux 或者 ps -ef 来查看隐藏进程。其中,aux 和 -ef 都是参数,用于指定输出的格式。在输出结果中,隐藏进程称前面会有一个方括号 [],表示该进程隐藏的。如果想要查看更详细的信息,可以使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值