通过hook Linux内核函数,监控进程/线程创建与销毁

最新推荐文章于 2024-04-24 06:15:00 发布
最新推荐文章于 2024-04-24 06:15:00 发布
阅读量8.7k 收藏 11
点赞数 2
文章标签: LINUX
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/warriorpaw/article/details/17227785
版权


Linux实际上木有线程这玩意,具体到内核里面就是个进程组头+一堆轻量级进程

太感谢Linus了,工作量瞬间下来了,在内核线程/进程无差别的,写一套东西就忽悠交差说是两套都做了,反正那帮子人也不懂。。。。

所有的进程创建都是通过do_fork()内核函数来做的,所有进程销毁都是走do_exit(),系统调用什么的都是这两个函数的封装而已

比如下面,和创建进程/线程相关的系统调用的处理函数。。。

asmlinkage int sys_fork(struct pt_regs regs)
{
	return do_fork(SIGCHLD, regs.esp, ®s, 0, NULL, NULL);
}

asmlinkage int sys_clone(struct pt_regs regs)
{
	unsigned long clone_flags;
	unsigned long newsp;
	int __user *parent_tidptr, *child_tidptr;

	clone_flags = regs.ebx;
	newsp = regs.ecx;
	parent_tidptr = (int __user *)regs.edx;
	child_tidptr = (int __user *)regs.edi;
	if (!newsp)
		newsp = regs.esp;
	return do_fork(clone_flags, newsp, ®s, 0, parent_tidptr, child_tidptr);
}

/*
 * This is trivial, and on the face of it looks like it
 * could equally well be done in user mode.
 *
 * Not so, for quite unobvious reasons - register pressure.
 * In user mode vfork() cannot have a stack frame, and if
 * done by calling the "clone()" system call directly, you
 * do not have enough call-clobbered registers to hold all
 * the information you need.
 */
asmlinkage int sys_vfork(struct pt_regs regs)
{
	return do_fork(CLONE_VFORK | CLONE_VM | SIGCHLD, regs.esp, ®s, 0, NULL, NULL);
}
最低0.47元/天 解锁文章
warriorpaw
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
linux kernel中的ingress hook简介
toyijiu的专栏
05-20 674
Linux内核中,Ingress Hook是Netfilter框架中的一个钩子(Hook),用于对进入网络接口的数据包进行处理。它位于数据包接收的早期阶段,在数据包被路由或转发之前。
HOOK技术监视窗体打开与销毁
10-31
在实践中,可以编写一个简单的示例程序,包含一个全局HOOK处理函数,通过SetWindowsHookEx注册,然后在进程中运行。当检测到窗体创建销毁的消息时,可以打印相关信息或者触发其他自定义操作。通过调试和实验,可以...
Linux内核hook机制:call_void_hook用法实例(六十一)
最新发布
Android系统攻城狮
04-24 891
本篇目的:Linux内核hook机制:call_void_hook用法实例char * lsm;\ ____ptr?\ pos;char * lsm;\ ____ptr?\ pos;char * lsm;\ ____ptr?\ pos;char * lsm;\ ____ptr?\ pos;
linux系统下的各种hook方式\Linux内核hook系统调用
热门推荐
西京刀客
08-26 1万+
文章目录一、linux系统下的各种hook方式1. 函数指针hook2. 动态库劫持3. Linux系统调用劫持 hook4. 堆栈式文件系统5. LSM二、Linux内核hook系统调用 一、linux系统下的各种hook方式 在计算机中,基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流, Linux平台上常见的拦截: 修改函数指针。 用户态动态库拦截。 内核态系统调用拦截。 堆栈式文件系统拦截。 LSM(Linux Security Modules) 1. 函数
Hook 内核函数技术细节
FISH 的专栏
09-24 3853
刚开始看到通过 SSDT 来 HOOK ZwXXX 内核函数的方法时不是很了解, 等把 ZwXXX 反汇编后才发现技术细节.原来也没什么新鲜的,就是找到目标函数在 SSDT 中的位置( 偏移量=位置*4 ), 然后保存并替换偏移量处的值为自己新的函数地址就行了。 这种技术现在已是老掉牙了,不过在实际的软件开发中也比较常用, 可以实现各种监控功能.上次安了个诺顿, 它把所有的 ZwXXX 都给
Linux利用hook技术实现文件监控和网络过滤
jinking01的专栏
09-06 1198
linux下利用hook技术实现文件过滤和网络连接过滤(黑名单、白名单)
探索KernelHook:一种强大的内核钩子技术
gitblog_00060的博客
04-06 886
探索KernelHook:一种强大的内核钩子技术 项目地址:https://gitcode.com/smallzhong/KernelHook 项目简介 KernelHook 是一个开源的项目,由开发者smallzhong创建,它提供了一种在Linux内核中实现高效、安全的钩子(hook)机制的方法。通过此项目,开发者可以轻松地插入自定义代码到内核关键函数中,以实现对系统行为的监控、调试或增强。...
EndTask
Matrix_Designer的专栏
10-04 1458
<br />前些日子,写了个软件自保护的Demo,通过Hook OpenProcess,将试图获取PROCESS_TERMINATE标志的进程句柄过滤掉,这样可以达到间接拒绝TerminateProcess的效果。当然,代码和思路都是别人的,我只是整理了下,呵呵。这种方法只能对付进程管理器的结束进程,却无法解决结束任务。昨晚经好友指点,才知道原来结束任务是通过EndTask这个API调用实现的,小试牛刀,Hook掉这个API,成功解决!很是迷惑,这个微软既然有TerminateProcess了,为什么还
HookSwapContext.rar_进程隐藏_隐藏进程hook
09-22
"HookSwapContext.rar_进程隐藏_隐藏进程hook"这个压缩包文件涉及到的技术是利用内核级钩子(Kernel-level Hook)来实现进程隐藏,具体来说是通过对KiSwapContext函数进行挂钩(Hook)来达到这一目的。KiSwapContext...
HOOK任务管理器.rar
04-05
1. **进程监控**:通过Hook相关API,可以实时跟踪和记录系统中所有进程创建销毁、资源使用情况等信息,提供更详尽的进程管理视图。 2. **进程控制**:除了系统默认的任务管理器功能,"HOOK任务管理器"可能允许...
windows监控程序原理
01-09
对于线程的监控,主要是跟踪线程的创建销毁以及线程的状态变化。这可以通过使用Windows API中的函数,如`CreateThread`和`WaitForSingleObject`等来实现。此外,还可以利用线程通知(Thread Notification)技术,...
内核安全软件仿XT,开源,支持LUA脚本
12-24
通过监控进程线程的创建、修改和销毁,仿XT可以及时发现异常行为,比如非法的权限提升、隐藏进程或者恶意线程注入。这种检测有助于预防病毒、木马和其他恶意软件的活动。 CrashRootkit这个名字可能代表了一个用于...
易语言API HooK CreateThread创建线
511遇见
05-28 5674
本课对API(Createthread)进行了Hook,首先我们在测试程序里启动一个线程,可以使用易语言的启动线程 (&工作, , 线程句柄)也可以直接调用API(Createthread)我们这里分了两种情况测试,第一,钩子写到测试文件里,第二,单独写一个钩子DLL,通过注入现行hook。我们hook的动作是调用系统的calc,你的系统如果是WIN10要确定是否安装了计算器。当然我们可以下任何钩子。实际应用是这样的,我们首先确定所注入进程是否调用了CreateThread这个API,其次我们应当写
linux 监控新建进程,技术分享 | Linux 入侵检测中的进程创建监控
weixin_32921023的博客
04-28 663
作者简介:张博,网易高级信息安全工程师。0x00 简介在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快速地定位攻击行为。本文将介绍一些常见的监控进程创建的方式,包括其原理、Demo、使用条件和优缺点。行文仓促,如果有哪些错误和不足,还望大家批评指正。0x01 常见方式目前来看,常见的获取进程创建的信息的方...
Linux内核通过inline hook实现隐藏进程
zwj0403的专栏
12-17 2026
这是我们操作系统的大作业。 原理就是inline hook 那个 proc 文件系统,根目录下的 readdir 的函数。 替换掉第三个参数,filldir。 代码爆短,60来行。 Ubuntu 10.04 测试可用。 #include  #include  #include  #include  #include  int register_kprobe(stru
linux 进程创建 进程启动 监控
whatday的专栏
03-20 2172
0x00 简介 在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快速地定位攻击行为。 本文将介绍一些常见的监控进程创建的方式,包括其原理、Demo、使用条件和优缺点。行文仓促,如果有哪些错误和不足,还望大家批评指正。 0x01 常见方式 目前来看,常见的获取进程创建的信息的方式有以下四种: 1、S...
高级Linux kernel inline hook技术
lucien的博客
05-08 5232
==Ph4nt0m Security Team== Issue 0x02, Phile #0x05 of 0x0A |=---------------------------------------------------------------------------=| |=-------------------=[ 高级Linux kernel inline hook技术
Linux 下的一个全新的性能测量和调式诊断工具 Systemtap,第 1 部分: kprobe
hnllei的专栏
04-28 1354
http://www.ibm.com/developerworks/cn/linux/l-cn-systemtap1/index.html kprobe 的原理、编程接口、局限性和使用注意事项 杨 燚 (yang.y.yi@gmail.com), 计算机科学硕士, Intel 简介: 本系列文章详细地介绍了一个Linux下的全新的调式、诊断和性能测量工具Systemtap和它所依
hook进程创建函数 监控 拦截 进程
09-01
Hook进程创建函数是一种监控和拦截进程的技术。当一个进程创建时,操作系统会调用相应的进程创建函数来执行一系列的操作,例如分配内存、初始化资源等。通过hook进程创建函数,我们可以在进程创建的过程中插入自定义的代码,从而实现对进程监控和拦截。 通过hook进程创建函数,我们可以实现以下功能: 1. 监控进程创建:通过hook进程创建函数,我们可以记录下每个进程创建情况,包括进程的名称、进程ID等信息。这对于进程管理、调试和安全审计等方面都非常有用。 2. 拦截进程创建:当我们希望阻止某个进程创建时,可以通过hook进程创建函数实现进程的拦截。例如,某些恶意程序会通过创建进程的方式进行传播,我们可以通过hook进程创建函数拦截这些进程创建,从而保护系统的安全。 3. 修改进程创建参数:通过hook进程创建函数,我们可以修改进程创建参数,例如修改程序的启动参数、运行环境等。这对于进程的定制化和优化非常有用。 4. 绕过进程创建限制:有些情况下,操作系统会对进程创建做一些限制,例如限制某个程序创建进程数量、限制进程的权限等。通过hook进程创建函数,我们可以绕过这些限制,实现一些我们需要的功能。 总之,hook进程创建函数是一种非常有用的技术,可以实现对进程监控和拦截。通过插入自定义代码来实现各种功能,从而对进程进行管理和控制。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值