进程隐藏
来源:互联网 发布:如何跟法国人 知乎 编辑:程序博客网 时间:2024/06/07 10:16
进程隐藏,使用户无法通过ps,top之类的命令,得到我们需要隐藏的进程信息。ps,top也是通过读/proc下的文件来完成的。Strace可以看出:ps,top的主要操作有:open/read 文件/proc/XXX/stat和/proc/XXX/status,其中XXX是进程号;sys_getdents64。
如下图:
问题是我们在劫持readdir的时候,是不知道哪些进程是需要隐藏的,需要额外的信息。下面我们在仔细的看下sys_open的流程,看看对我们有什么启发。
也就是说在sys_open时候会调用lookup函数。但是这对我们有什么用呢?
下图揭晓谜底,看看adore的进程隐藏工作流程。
也就是说,hacker在需要隐藏某进程时:
1、 先建立一个/proc/hiden-XXX文件,建立的过程中会调用我们的lookup函数
2、 Lookup检测到有人建立hiden-XXX文件,就把XXX(进程号)记录在内核驱动中。
3、 Hacker马上把那个/proc/hiden-XXX文件删除掉,就当什么都没有发生过。
4、 用户ps时,调用sys_open/sys_read,被我们的Lookup拦截;调用sys_getdents64时,被我们的readdir函数拦截。
0 0
- 隐藏进程
- 隐藏进程
- 进程隐藏
- 隐藏进程
- 隐藏进程
- 隐藏进程
- 隐藏进程
- 隐藏进程
- 隐藏进程
- 进程隐藏
- 隐藏进程
- 进程隐藏
- 进程隐藏类
- [转载]侦测隐藏进程
- 检测隐藏进程
- ring0检测隐藏进程
- 用驱动隐藏进程
- 隐藏进程代码
- 北京工商新网上登记平台上线,实现 零见面、全流程电子化
- AP上线过程
- 2015年第十一周项目四:类族的设计
- 11.4类族的设计
- 【笔记】JavaScript编码规范- 构造函数
- 进程隐藏
- 百度工程师讲PHP函数的实现原理及性能分析(一)
- 第12周 《C++语言基础》程序阅读——多重继承(5)
- java基础之内部类的小结
- swing 添加背景图片
- Unkown entity 错误
- Linux下的踪迹隐藏
- 理解RESTful架构
- 缠中说禅学习整理——线段定义及划分(一)