通过hook Linux内核函数,监控进程/线程创建与销毁

最新推荐文章于 2023-07-26 15:01:02 发布
最新推荐文章于 2023-07-26 15:01:02 发布
阅读量8.7k 收藏 11
点赞数 2
文章标签: LINUX
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/warriorpaw/article/details/17227785
版权


Linux实际上木有线程这玩意,具体到内核里面就是个进程组头+一堆轻量级进程

太感谢Linus了,工作量瞬间下来了,在内核线程/进程无差别的,写一套东西就忽悠交差说是两套都做了,反正那帮子人也不懂。。。。

所有的进程创建都是通过do_fork()内核函数来做的,所有进程销毁都是走do_exit(),系统调用什么的都是这两个函数的封装而已

比如下面,和创建进程/线程相关的系统调用的处理函数。。。

asmlinkage int sys_fork(struct pt_regs regs)
{
	return do_fork(SIGCHLD, regs.esp, ®s, 0, NULL, NULL);
}

asmlinkage int sys_clone(struct pt_regs regs)
{
	unsigned long clone_flags;
	unsigned long newsp;
	int __user *parent_tidptr, *child_tidptr;

	clone_flags = regs.ebx;
	newsp = regs.ecx;
	parent_tidptr = (int __user *)regs.edx;
	child_tidptr = (int __user *)regs.edi;
	if (!newsp)
		newsp = regs.esp;
	return do_fork(clone_flags, newsp, ®s, 0, parent_tidptr, child_tidptr);
}

/*
 * This is trivial, and on the face of it looks like it
 * could equally well be done in user mode.
 *
 * Not so, for quite unobvious reasons - register pressure.
 * In user mode vfork() cannot have a stack frame, and if
 * done by calling the "clone()" system call directly, you
 * do not have enough call-clobbered registers to hold all
 * the information you need.
 */
asmlinkage int sys_vfork(struct pt_regs regs)
{
	return do_fork(CLONE_VFORK | CLONE_VM | SIGCHLD, regs.esp, ®s, 0, NULL, NULL);
}
最低0.47元/天 解锁文章
warriorpaw
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
关于win7下r3窗口进程保护的一些方式
被遗弃的庸才博客
08-06 2116
背景 随着Windows PG保护的出现,过去内核挂钩inline hook的时代逐渐远去,hook OpenProcess的日子也一去不复返了。那么,如果想在Windows操作系统上不那么轻易的被结束掉(这里主要考虑不在r3被结束,都在内核还干不掉你),有没有什么方法? 常见方式 通常情况下如果是在r0,注册一个ObRegisterCallbacks回调,对PROCESS_TERMINATE权限进行限制,就能解决别人调用TerminateProcess结束进程的情况。 if (pOperatio
Linux内核之hook机制:call_void_hook用法实例(六十一)
最新发布
Android系统攻城狮
04-24 889
本篇目的:Linux内核之hook机制:call_void_hook用法实例char * lsm;\ ____ptr?\ pos;char * lsm;\ ____ptr?\ pos;char * lsm;\ ____ptr?\ pos;char * lsm;\ ____ptr?\ pos;
hook方式进程创建监控进程保护
kernweak的博客
05-30 3029
关于进程创建, xp系统:CreatProcessW->CreateProcessInternalW->NtCreateProcessEx->NtCreatSection Vista以上:CCreatProcessW->CreateProcessInternalW->NtCreateUserProcess->NtCreateSection 所以我们要Hoo...
linux系统下的各种hook方式\Linux内核hook系统调用
热门推荐
西京刀客
08-26 1万+
文章目录一、linux系统下的各种hook方式1. 函数指针hook2. 动态库劫持3. Linux系统调用劫持 hook4. 堆栈式文件系统5. LSM二、Linux内核hook系统调用 一、linux系统下的各种hook方式 在计算机中,基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流, Linux平台上常见的拦截: 修改函数指针。 用户态动态库拦截。 内核态系统调用拦截。 堆栈式文件系统拦截。 LSM(Linux Security Modules) 1. 函数
冷月手撕408之操作系统(5)-进程概述
学长冷月的博客
09-07 1734
操作系统的进程概述主要是介绍了进程的概念,进程的组成(进程实体)、进程的特征、进程的五状态模型、进程控制,其中重点掌握PCB、五状态模型及其状态转换。 主要的重点冷月做出了标识,知识点如下图(pdf版或xmind源文件请关注公众号:学长冷月,回复操作系统)。 冷月点睛 程序是静态的存储在计算机硬盘里面的计算机代码,而进程是程序在数据上的一次动态执行。 进程实体也叫进程映像,包括程序段、数据段、PCB。是进程的静态组成。 PCB,进程控制块,进程存在的唯一标识,常驻内存中。 进程最主要、最基本的特征是动态性
HookSwapContext.rar_进程隐藏_隐藏进程hook
09-22
"HookSwapContext.rar_进程隐藏_隐藏进程hook"这个压缩包文件涉及到的技术是利用内核级钩子(Kernel-level Hook)来实现进程隐藏,具体来说是通过对KiSwapContext函数进行挂钩(Hook)来达到这一目的。KiSwapContext...
HOOK技术监视窗体打开与销毁
10-31
在实践中,可以编写一个简单的示例程序,包含一个全局HOOK处理函数,通过SetWindowsHookEx注册,然后在进程中运行。当检测到窗体创建销毁的消息时,可以打印相关信息或者触发其他自定义操作。通过调试和实验,可以...
HOOK任务管理器.rar
04-05
1. **进程监控**:通过Hook相关API,可以实时跟踪和记录系统中所有进程创建销毁、资源使用情况等信息,提供更详尽的进程管理视图。 2. **进程控制**:除了系统默认的任务管理器功能,"HOOK任务管理器"可能允许...
内核安全软件仿XT,开源,支持LUA脚本
12-24
通过监控进程线程创建、修改和销毁,仿XT可以及时发现异常行为,比如非法的权限提升、隐藏进程或者恶意线程注入。这种检测有助于预防病毒、木马和其他恶意软件的活动。 CrashRootkit这个名字可能代表了一个用于...
精通Windows.API-函数、接口、编程实例.pdf
01-27
6.3.3 创建远程线程、将代码注入其他进程中执行 167 6.3.4 创建纤程、删除纤程、调度纤程 170 6.3.5 纤程与线程的互相转换 171 6.4 进程状态信息 176 6.4.1 PS API与Tool help API 176 6.4.2 遍历系统中...
[转载]内核级利用通用Hook函数方法检测进程
05-14 698
内核级利用通用Hook函数方法检测进程作者:    LionD8QQ:    10415468Email: LionD8@126.comBlog:    http://blog.csdn.net/LionD8     or http://liond8.126.com介绍通用Hook的一点思想:    在系统内核级中,MS的很多信息都没公开,包括函数的参数数目,每个参数的类型等。在系统内核中,访问了
Hook核函数技术细节
FISH 的专栏
09-24 3849
刚开始看到通过 SSDT 来 HOOK ZwXXX 内核函数的方法时不是很了解, 等把 ZwXXX 反汇编后才发现技术细节.原来也没什么新鲜的,就是找到目标函数在 SSDT 中的位置( 偏移量=位置*4 ), 然后保存并替换偏移量处的值为自己新的函数地址就行了。 这种技术现在已是老掉牙了,不过在实际的软件开发中也比较常用, 可以实现各种监控功能.上次安了个诺顿, 它把所有的 ZwXXX 都给
linux劫持内核函数,Linux hook核函数
weixin_39530149的博客
04-30 287
在内核中,如果要hook某个函数,有三种方法,1. 修改syscall table2.替换对象指针3. inline hook 只要把函数开头的5个字节替换成call/jmp指令.前两种比较简单,这里记录下inline hook的实现过程.步骤1. 保存orig 函数的前5个字节指令.2.定义一个stub函数,用于跳转回orig函数.3.在新函数中,调用stub函数. 具体实现#include#i...
linux内核中的hook函数详解,linux 内核 hook函数介绍
weixin_34907135的博客
05-09 432
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。typedef unsigned int nf_hookfn(unsigned int hooknum, struct sk_buff *skb, const struct net_device *in, const struct net_d...
Linux利用hook技术实现文件监控和网络过滤
jinking01的专栏
09-06 1192
linux下利用hook技术实现文件过滤和网络连接过滤(黑名单、白名单)
深入理解Linux 内核追踪机制
youzhangjing_的博客
07-26 1246
Linux 存在众多 tracing tools,比如 ftrace、perf,他们可用于内核的调试、提高内核的可观测性。众多的工具也意味着繁杂的概念,诸如 tracepoint、trace events、kprobe、eBPF 等,甚至让人搞不清楚他们到底是干什么的。本文尝试理清这些概念。
hook进程创建函数 监控 拦截 进程
09-01
Hook进程创建函数是一种监控和拦截进程的技术。当一个进程创建时,操作系统会调用相应的进程创建函数来执行一系列的操作,例如分配内存、初始化资源等。通过hook进程创建函数,我们可以在进程创建的过程中插入自定义的代码,从而实现对进程监控和拦截。 通过hook进程创建函数,我们可以实现以下功能: 1. 监控进程创建:通过hook进程创建函数,我们可以记录下每个进程创建情况,包括进程的名称、进程ID等信息。这对于进程管理、调试和安全审计等方面都非常有用。 2. 拦截进程创建:当我们希望阻止某个进程创建时,可以通过hook进程创建函数实现进程的拦截。例如,某些恶意程序会通过创建进程的方式进行传播,我们可以通过hook进程创建函数拦截这些进程创建,从而保护系统的安全。 3. 修改进程创建参数:通过hook进程创建函数,我们可以修改进程创建参数,例如修改程序的启动参数、运行环境等。这对于进程的定制化和优化非常有用。 4. 绕过进程创建限制:有些情况下,操作系统会对进程创建做一些限制,例如限制某个程序创建进程数量、限制进程的权限等。通过hook进程创建函数,我们可以绕过这些限制,实现一些我们需要的功能。 总之,hook进程创建函数是一种非常有用的技术,可以实现对进程监控和拦截。通过插入自定义代码来实现各种功能,从而对进程进行管理和控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值