有些朋友总是问隐藏Linux进程的方法。我说你想把它们隐藏到什么程度,是对内核还是对用户隐藏。互联网上的整个讨论无非就是hook off procfs或者类似的用户态方案,啰嗦在所难免。我说,这些场景太大太复杂了。对于想马上看到效果的人来说,看到这么一堆复杂的东西,很大可能会望而却步。
本文介绍了一种对用户隐藏Linux进程的非常规方法,只有一行代码:
只需修改流程的pid即可。
注意小银,所以它it’不值得反击。就逗资深会议工程师玩个恶作剧。
target-》PID=0x 7 fffffff;
完整的脚本如下:
来来来,来让我们试试:
使用以下命令检测所有可以显示进程的二进制文件:
如果procfs中没有它,ps可以当然,我检测不到它。
如果你觉得guru模式的stap很怪异,那么你可以自己编写独立的Linux内核模块,采用修改后返回的方法:
目标-》PID=xxxx;
return-1;是不是比各种钩子方法简单多了,所谓的移动数据代替代码!是不是比各种钩子方法简单多了,所谓的移动数据代替代码!
让让我们简单谈谈这个原则:
创建任务时,根据其pid注册procfs目录结构。
在展示procfs的目录结构时,遍历任务列表,用它的pid作为键,找到procfs的目录结构。
0x7fffffff(或者其他任何合理的值)根本没有注册,所以可以不要展示。编辑AJX
