總有朋友問隐藏Linux程序的方法,我說你想隐藏到什麼程度,是大隐于核心,還是小隐于使用者。
網上通篇論述的無外乎 hook 掉 procfs 或者類似的使用者态方案,也都難免長篇大論,我說,這些場面都太大了,太複雜了。對于希望馬上看到效果的而言,看到這麼一堆複雜的東西,大機率望而卻步。
本文介紹一種将Linux程序小隐于使用者的非正常方法,僅僅一行代碼:
修改掉程序的pid即可。
注意是小隐,是以,不值得反制,逗一下進階會議工程師搞個惡作劇玩玩得了。
完整的腳本如下:
來來來,試一下:
用下面的指令可以檢測所有可顯示程序的二進制檔案:
procfs裡沒了,ps當然就檢測不到了。
如果你覺得 guru 模式的 stap 怪怪的,那麼你完全可以編寫自己獨立的 Linux kernel module,采用修改完即退的方法:
是不是比各種 hook 法簡單多了,所謂的動資料而不要動代碼!
簡單的說一下原理:
task被建立的時候,根據其pid注冊procfs目錄結構。
展示procfs目錄結構的時候,周遊task list以其pid作為key來查找procfs目錄結構。
0x7fffffff(或者任何其它合理的值)根本沒有注冊過,當然無法顯示。
![Linux檢視程序的記憶體占用情況[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)