linux运行隐藏木马,Linux进程隐藏:初级篇

最新推荐文章于 2024-07-15 11:22:38 发布
最新推荐文章于 2024-07-15 11:22:38 发布
阅读量387 收藏 1
点赞数
文章标签: linux运行隐藏木马

e40f6bd240a4ad87a8d9a44a49bdd9d5.png

前言

Linux下查看进程信息的途径通常有以下几种方式途径说明top、ps等命令通过ps及top命令查看进程信息时,只能查到相对路径,查不到的进程的详细信息,如绝对路径等。常用命令如下

ps -A 查看所有进程名称;

ps -ef 接显示进程绝对路径及参数;

ps -aux显示所有用户进程状态,最后一列显示进程绝对路径及参数;

top命令 参考http://c.biancheng.net/view/1065.html

/proc/pid/文件夹Linux在启动一个进程时,系统会在/proc下创建一个以pid命名的文件夹,在该文件夹下会有我们的进程的信息,其中包括一个名为exe的文件即记录了绝对路径,通过ll或ls –l命令即可查看。exe实际运行程序的符号链接;

cmdline 一个只读文件,包含进程的完整命令行信息;

comm 包含进程的命令名;

cwd 进程当前工作目录的符号链接;

status 进程状态信息,包含的信息多于stat;

stat 进程状态信息;

cwd 进程当前工作目录的符号链接;

latency 显示哪些代码造成的延时比较大;

environ记录了进程运行时的环境变量;

fd目录下是进程打开或使用的文件的符号连接。

初级隐藏篇介绍以下两种方式修改隐藏进程名1. 通过修改进程argv[0]修改进程名

2. 通过Linux prctl修改进程名

一、通过修改进程argv[0]修改进程名

优缺点:

优点是ps -ef 、ps -aux看不到进程名及参数了

缺点是这种方法仅仅是修改了/prco/pid/cmdline 的值,使用ps -A 或者top 命令还是可以看到进程名称

我们知道在一个程序中,参数的个数保存在int型argc中,参数保存在数组argv[]中,数组的第一个元素argv[0]保存的就是进程名,第二个元素argv[1]保存的是第一个参数,依次类推。通过修改进程argv[0]修改进程名,这一方法实现比较简单,我们只要在进程启动mian函数中修改掉argv数组所指向的内存空间的内容即可,这里需要注意的是 linux中main()还有一个隐藏参数就是环境变量信息,存放了运行时所需要的环境变量,如果新名称比argv[0]的长度小,我们可以直接修改,并把多余的部分请0

如果新名称比argv[0]长我们需要两步

​ 1) 申请新内存保存环境变量信息和argv[1…argc-1]参数信息

​ 2) 修改argv[0],将新名称往后到environ的最后一项清0

以下示例代码仅仅是将argv[]清空#include

#include

#include

#include

int main(int argc, char **argv) {

printf("========== Before the modification ============\n");

printf("ProcessName: %s\n", argv[0]);

for(int i = 1; i < argc; i ++){

printf("Argv%d: %s\n", i, argv[i]);

}

/* Start the modification */

int new_argc = argc;

char ** new_argv = malloc((argc+1) * sizeof(*new_argv));

for(int j = 0; j < argc; j++)

{

size_t length = strlen(argv[j]) + 1;

new_argv[j] = malloc(length);

memcpy(new_argv[j], argv[j], length);

memset(argv[j], '\0', length);

}

printf("========== After the modification ============\n");

printf("ProcessName: %s\n", argv[0]);

for(int i = 1; i < argc; i ++){

printf("Argv%d: %s\n", i, argv[i]);

}

printf("========== Copy data ============\n");

printf("ProcessName: %s\n", new_argv[0]);

for(int k = 1; k < new_argc; k ++){

printf("Argv%d: %s\n", k, new_argv[k]);

}

sleep(1000);

return 0;

}

二、通过Linux prctl修改进程名

优缺点:

优点是修改了/prco/pid/stat及/prco/pid/status中的进程名称,使用ps -A 或者top 命令看不到原来的进程名称

缺点是未修改/prco/pid/cmdline 的值,使用ps -ef 、ps -aux可以看到进程名称及参数

使用prctl修改进程名实现也比较简单,

看下面代码/*

gcc changetitle.c -o changetitle

*/

#include

#include

int main(int argc, char *argv[], char *envp[])

{

char *new_name = "1234567890abcdefg";

getchar();

prctl(PR_SET_NAME, new_name);

getchar();

return 0;

}

但是prctl修改的进程名,只能是16个字节(包括’\0’),当新名称长度大于16时就会截断,上面的新名字截断后是1234567890abcdeubuntu18@ubuntu:~/Desktop/change_processname$ ps -A | grep chang

ubuntu18@ubuntu:~/Desktop/change_processname$ ps -A | grep 1234

10764 pts/8 00:00:00 1234567890abcde

ubuntu18@ubuntu:~/Desktop/change_processname$ cat /proc/10764/stat

10764 (1234567890abcde) S 10709 10764 10709 34824 10764 4194304 69 0 0 0 0 0 0 0 20 0 1 0 14090125 4612096 197 18446744073709551615 94579895803904 94579895806128 140721599190352 0 0 0 0 0 0 1 0 0 17 0 0 0 0 0 0 94579897904560 94579897905168 94579902476288 140721599193924 140721599193938 140721599193938 140721599197162 0

三、两者方法相结合

我们可以发现,使用以上两种方法相结合,可以使得 ps -ef 、ps -aux 、ps -A 、top、/proc/pid/status、/proc/pid/cmdline 均看不到真实的进程信息;

看下面代码:/*

gcc changetitle.c -o changetitle

*/

#include

#include

#include

#include

#include

#include

# define MAXLINE 2048

extern char **environ;

static char **g_main_Argv = NULL; /* pointer to argument vector */

static char *g_main_LastArgv = NULL; /* end of argv */

void setproctitle_init(int argc, char **argv, char **envp)

{

int i;

for (i = 0; envp[i] != NULL; i++) // calc envp num

continue;

environ = (char **) malloc(sizeof (char *) * (i + 1)); // malloc envp pointer

for (i = 0; envp[i] != NULL; i++)

{

environ[i] = malloc(sizeof(char) * strlen(envp[i]));

strcpy(environ[i], envp[i]);

}

environ[i] = NULL;

g_main_Argv = argv;

if (i > 0)

g_main_LastArgv = envp[i - 1] + strlen(envp[i - 1]);

else

g_main_LastArgv = argv[argc - 1] + strlen(argv[argc - 1]);

}

void setproctitle(const char *fmt, ...)

{

char *p;

int i;

char buf[MAXLINE];

extern char **g_main_Argv;

extern char *g_main_LastArgv;

va_list ap;

p = buf;

va_start(ap, fmt);

vsprintf(p, fmt, ap);

va_end(ap);

i = strlen(buf);

if (i > g_main_LastArgv - g_main_Argv[0] - 2)

{

i = g_main_LastArgv - g_main_Argv[0] - 2;

buf[i] = '\0';

}

//修改argv[0]

(void) strcpy(g_main_Argv[0], buf);

p = &g_main_Argv[0][i];

while (p < g_main_LastArgv)

*p++ = '\0';

g_main_Argv[1] = NULL;

//调用prctl

prctl(PR_SET_NAME,buf);

}

int main(int argc, char *argv[])

{

char argv_buf[MAXLINE] = {0}; // save argv paramters

int i;

for( i = 1; i < argc; i++)

{

strcat(argv_buf, argv[i]);

strcat(argv_buf, " ");

}

//修改argv[0]所指向的内存空间的内容

setproctitle_init(argc, argv, environ);

//调用prctl修改进程名

setproctitle("%s@%s %s", "12345678", "ip", argv_buf);

for (i = 0; environ[i] != NULL; i++)

free(environ[i]);

getchar();

return 0;

}

但是这样还是有一定的局限性,比如说,ps、top等命令还是能看见真实的pid信息,proc文件夹下还是会生成相应的pid文件夹;最理想的情况应该是让我们的进程信息彻底消失,Linux进程隐藏-中级隐藏篇将会进一步介绍更加高级的进程隐藏技术。

Relevant Link:

https://www.linuxprobe.com/linux-proc-pid.html

https://www.cnblogs.com/LittleHann/p/4991600.html

http://blog.chinaunix.net/uid-29482215-id-4120748.html

琥蛮
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux运维方向文章汇总
互联网老辛
09-29 3574
linux云计算架构师 第0阶段 开班仪式 如何成为一个优秀的运维人员 企业linux运维岗位详细介绍 运维人该有的思维和习惯 优秀学员分享公司情况与学习方法 运维人员的五年规划及十年目标 课程规章制度及后续跟踪学习介绍 目前运维就业情况及学习资料 第一阶段 linux基础 计算机组成原理及linux历史 计算机硬件入门 计算机组成原理介绍 书籍推荐 linux的历史及名字由来 计算机语言...
[网络安全自学] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
杨秀璋的专栏
04-10 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可能利用此漏洞远程无需用户验证,执行恶意代码并获取机器的完全控制。本文将详细讲解Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。由于hack the box速度堪忧,作者选择了Vulnhub靶场,希望深入分析来
WINNT下隐藏木马进程 DLL木马
回家念经(kv300)--编程之禅
07-05 2440
——WINNT下隐藏木马进程 DLL木马——   NT系统下木马进程隐藏   在WIN9X中,只需要将进程注册为系统服务就能够从进程查看器中隐形,可是这一切在WINNT中却完全不同, 无论木马从端口、启动文件上如何巧妙地隐藏自己,始终都不能欺骗WINNT的任务管理器,难道在WINNT下木马真的再也无法隐藏自己的进程了?   我们知道,在WINDOWS系统下,可执行文件主要是Exe和Com文件
NT系统下木马进程隐藏与检测
weixin_33768481的博客
01-07 357
    在WIN9X中,只需要将进程注册为系统服务就能够从进程查看器中隐形,可是这一切 在WINNT中却完全不同,无论木马从端口、启动文件上如何巧妙地隐藏自己,始终都不能 欺骗WINNT的任务管理器,以至于很多的朋友问我:在WINNT下难道木马真的再也无法隐 藏自己的进程了?本文试图通过探讨WINNT中木马的几种常用隐藏进程手段,给大家揭示 木马/后门程序在WINNT中进程隐藏的方...
渗透测试之Linux进程隐藏(非常详细)零基础入门到精通,收藏这一就够了
最新发布
leah126的博客
07-15 636
Linux服务器上获取root用户权限后,可以通过挂载覆盖/proc/pid目录来隐藏进程,使其在ps和top命令的输出结果中消失。同时,可以利用LD_PRELOAD环境变量劫持系统函数,通过自定义动态链接库来控制不显示指定进程名,从而隐藏进程的存在。在渗透测试中,权限维持是很重要的环节。拿下目标后,无论是搜集信息,还是作为跳板,都需要长久的获取这台机器的权限。这时候,我们需要考虑Shell的“持久战”!
Linux 进程隐藏
04-26
NULL 博文链接:https://tcspecial.iteye.com/blog/2361998
Linux 隐藏进程
chi's blog
10-09 1312
这种方式属于DKoM(Direct Kernel Object Manipulation)攻击方式了,即直接内核对象操作技术。关于第一种hook方式可以参考上一文章。最后推荐一个rootkit工具。
linux隐藏进程
weixin_42871919的博客
10-14 939
1. 本文所用到的工具在可以下载2. 思路就是利用 LD_PRELOAD 来实现系统函数的劫持LD_PRELOAD,是个环境变量,用于动态库的加载,动态库加载的优先级最高,一般情况下,其加载顺序为 LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/lib>/usr/lib。
[网络安全自学] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
杨秀璋的专栏
04-11 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。本文将讲解DC-1提权和Drupal漏洞利用,通过信息收集、CMS漏洞搜索、Metasploit反弹shell、提权及数据库爆破获取flag。本文是一Web渗透的基础性文章,希望对您有所帮助。
初级网络工程师面试题60例分析
m0_57602298的博客
06-22 245
一、网络运维基础 请简单描述IPv4地址的分类和范围? 答案: A类 1 - 127 网+主+主+主 B类 128 -191 网+网+主+主 C类 192 -223 网+网+网+主 D类 224 - 239 组播(多播) E类 240 - 254 科研 制作双绞线时,T568b、T568a线序...
软考初级信息处理技术员历年真题网页快捷方式整理
11-20
2. 操作系统:熟悉Windows、Linux等常见操作系统的使用,包括文件管理、进程管理、用户权限设置等。 3. 网络基础:理解TCP/IP协议族,包括IP地址、子网掩码、DNS解析等。知道基本的网络设备,如路由器、交换机,...
linux隐藏特定进程,linux 隐藏进程
weixin_39638048的博客
04-28 230
2、源码如下root@ubuntu:/var/srt/libprocesshider# cat processhider.c#define _GNU_SOURCE#include #include #include #include #include /** Every process with this name will be excluded*/static const char* proc...
如何隐藏 Linux 进程
08-21 279
总有朋友问隐藏Linux进程的方法,我说你想隐藏到什么程度,是大隐于内核,还是小隐于用户。 网上通论述的无外乎 hook 掉 procfs 或者类似的用户态方案,也都难免长大论,我说,这些场面都太大了,太复杂了。对于希望马上看到效果的而言,看到这么一堆复杂的东西,大概率望而却步。 本文介绍一种将Linux进程小隐于用户的非常规方法,仅仅一行代码: 修改掉进程的pid即可。 注意是小隐,所以,不值得反制,逗一下高级会议工程师搞个恶作剧玩玩得了。 target->pid = 0x7fffffff; 完
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 820
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 823
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
linux 隐藏进程,聊一聊Linux进程隐藏的常见手法及侦测手段
weixin_39621669的博客
04-28 748
严正声明:本文仅限于技术讨论与学术学习研究之用,严禁用于其他用途(特别是非法用途,比如非授权攻击之类),否则自行承担后果,一切与作者和平台无关,如有发现不妥之处,请及时联系作者和平台0x00.前言进程隐藏是恶意软件隐藏自身痕迹逃避系统管理人员发现的常用伎俩之一,当然,安全防护人员有时候也会使用到,比如隐藏蜜罐中的监控进程而不被入侵者觉察等。笔者也曾在多次安全应急响应经历中遇到过多各式各样的进程隐藏...
一行代码如何隐藏 Linux 进程
CSDN资讯
08-19 2592
作者 | dog250责编 | 王晓曼头图 | CSDN 下载自东方IC出品 | CSDN 博客总有朋友问隐藏Linux进程的方法,我说你想隐藏到什么程度,是大隐于内核,还是小隐于用户。...
(渗透测试后期)Linux进程隐藏详解
热门推荐
qq_42882717的博客
03-27 1万+
文章目录(渗透测试后期)Linux进程隐藏详解前言Linux进程基础Linux进程侦查手段Linux进程隐藏手段一、基于用户态的进程隐藏方法1:小隐隐于/proc/pid——劫持readdir系统调用额外:加载至arm方法2:小隐隐于/proc/pid——mount 挂载二、基于内核态的进程隐藏方法3:大隐隐于内核——修改内核源码+系统调用方法4:大隐隐于内核——修改内核源码proc_pid_lookup方法5:大隐隐于内核——编写驱动/内核模块——LKM实现进程隐藏总结 (渗透测试后期)Linux进程隐藏
linux下如何隐藏进程(ps/top) 和找到linux进程路径
zhangblss@hotmail.com
01-14 8978
一般linux系统被攻击去根据进程查看文件或脚本,或者隐藏文件。 1、根据进程名,找出pid 例如python # ps -ef|grep python 找到python的pid 2、根据pid可在/proc中找到执行文件路径 # ls -l /proc/pytohpid -------------------------------------------------------
WINNT系统中木马隐藏进程技术解析
"这文章主要探讨了在Windows NT操作系统中,木马和后门程序如何隐藏进程以及如何被查找的问题。通常,木马通过隐藏进程、端口和启动文件来躲避检测,但在Windows NT下,这些传统手段可能不再有效,因为任务管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值