一行代码奈何规避藏Linux历程?
|
总有伴侣问潜匿Linux历程的要领,我说你想潜匿到什么水平,是大隐于内核,照旧小隐于用户。网上通篇阐述的无外乎 hook 掉 procfs 可能相同的用户态方案,也都不免长篇大论,我说,这些时势都太大了,太伟大了。对付但愿顿时看到结果的而言,看到这么一堆伟大的对象,或许率望而却步。 本文先容一种将Linux历程小隐于用户的非通例要领,仅仅一行代码: 修改掉历程的pid即可。 留意是小隐,以是,不值得反制,逗一下高级集会会议工程师搞个开顽笑玩玩得了。 target->pid = 0x7fffffff; 完备的剧本如下: #!/usr/bin/stap -g # hide.stp
global pid;
function hide(who:long) %{ struct task_struct *target;
target = pid_task(find_vpid(STAP_ARG_who), PIDTYPE_PID); target->pid = 0x7fffffff; %}
probe begin { pid = $1 hide(pid); exit(); } ff; 来来来,试一下: [root@localhost system]# ./tohide & [1] 403 [root@localhost system]# ./hide.stp [root@localhost system]# 用下面的呼吁可以检测全部可表现历程的二进制文件: for pid in $(ls /proc|awk '/^[0-9]+/{print $1}'); do ls -l /proc/$pid/exe; done procfs里没了,ps虽然就检测不到了。 假如你认为guru 模式的 stap 怪怪的,那么你完全可以编写本身独立的 Linux kernel module,回收修改完即退的要领: target->pid = xxxx; return -1;是不是比各类hook法简朴多了,所谓的动数据而不要动代码!是不是比各类 hook 法简朴多了,所谓的动数据而不要动代码! (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
