1行のコードでLinuxのプロセスを隠す方法を学ぶ

1行のコードでLinuxのプロセスを隠す方法を学ぶ

友人たちはいつも、Linux のプロセスを隠す方法を私に尋ねます。私は、どの程度隠したいのか、カーネル内で隠したいのか、ユーザーから隠したいのかを尋ねます。

オンラインでの議論はすべて、procfs や同様のユーザー モード ソリューションのフックに関するもので、どれも長文です。これらのシナリオは大きすぎて複雑すぎると私は思います。すぐに結果を見たい人にとっては、このような複雑なものを見るとやる気が失せてしまうかもしれません。

この記事では、たった 1 行のコードで Linux プロセスをユーザーから隠す、型破りな方法を紹介します。

プロセスの pid を変更するだけです。

相手は Xiao Yin なので、反撃する価値はありません。ただ楽しむために、上級カンファレンス エンジニアにいたずらをしましょう。
target->pid = 0x7fffffff;

完全なスクリプトは次のとおりです。

#!/usr/bin/stap -g
#非表示.stp

グローバル pid;

関数hide(who:long)
%{
 構造体task_struct *ターゲット;

 ターゲット = pid_task(find_vpid(STAP_ARG_who), PIDTYPE_PID);
 ターゲット->pid = 0x7fffffff;
%}

調査開始
{
 pid = $1
 非表示(pid);
 出口();
}

さあ、試してみてください:

[root@localhost system]# ./tohide &
[1] 403
[root@localhost システム]# ./hide.stp
[root@localhost システム]#

プロセスを表示できるすべてのバイナリ ファイルを検出するには、次のコマンドを使用できます。

pid が $(ls /proc|awk '/^[0-9]+/{print $1}') の場合、 
 ls -l /proc/$pid/exe; 
終わり

procfs でそれが消えてしまった場合、ps は当然それを検出できません。

guru-mode stap がおかしいと思われる場合は、独自の独立した Linux カーネル モジュールを作成し、変更と終了の方法を使用できます。

ターゲット->pid = xxxx;
-1 を返します。

各種フックメソッドよりもずっと簡単じゃないですか?いわゆるコードではなくデータを移動するというやつです!

その原理を簡単に説明しましょう。

  • タスクが作成されると、その pid に従って procfs ディレクトリ構造が登録されます。
  • procfs ディレクトリ構造を表示するときは、タスク リストの pid をキーとして使用して procfs ディレクトリ構造を見つけます。
  • 0x7fffffff (またはその他の適切な値) はまったく登録されず、もちろん表示できません。

もう言葉はありません。

もう一度言いますが、この記事で説明した方法に対抗しようとしないでください。こんなに単純なものには対抗する価値がないからです、ハハ、そうですよね?

Linux プロセスがカーネル内に隠れる仕組みをさらに詳しく知るには、以前の Rootkit シリーズの記事を参照してください。同時に、それぞれの方法に対する対策も示しました。

1 行のコードで Linux プロセスを非表示にする方法についての記事はこれで終わりです。Linux の非表示プロセスの詳細については、123WORDPRESS.COM の以前の記事を検索するか、以下の関連記事を引き続き参照してください。今後とも 123WORDPRESS.COM をよろしくお願いいたします。

以下もご興味があるかもしれません:
  • Linux デバイスに空き容量がありません inode の満杯により 500 エラーが発生します
  • Linux/Nginx で検索エンジン スパイダー クローラーの動作を表示する方法
  • Linux gzip コマンドのファイル圧縮実装原理とコード例
  • Linux のハードリンクとソフトリンクの区別
  • Linux ipcsコマンドの使用
  • SpringBoot + Vue プロジェクトを Linux サーバーにデプロイするための詳細なチュートリアル
  • Linux コマンドラインで電卓を使用する 5 つのコマンド
  • Linux lsコマンドの使用
  • Linux sedコマンドの使用
  • Linux インデックスノード inode の詳細な説明

<<:  Vue3とTypeScriptを組み合わせたプロジェクト開発の実践記録

>>:  Vue-router は現在の場所 (/path) へのナビゲーションを許可しません。エラーの原因と修正

推薦する

MySQL エラー コード 1064 の解決策

SQL ステートメント内の単語が mysql のキーワードと競合する場合は、`` (タブ キーの上)...

Linuxはシェルスクリプトを使用して履歴ログファイルを定期的に削除します

1. ツールディレクトリのファイル構造 [root@www tools]# ツリーツール/ ツール/...

WebStormはVue3統合APIのソリューションを正しく識別できません

1 問題の説明Vue3 の統合 API は、defineComponent やその他の関数が認識でき...

ホストNginx + Docker WordPress Mysqlを設定するための詳細な手順

環境Linux 3.10.0-693.el7.x86_64 Docker バージョン 18.09.0...

Xtrabackup を使用した MySQL バックアップ プロセスの詳細な説明

目次01 背景02 はじめに03 ワークフロー04 いくつかの質問05 ファイルをバックアップする0...

XHTML+CSS Web ページ作成における美しいスタイルシートの適用

これはかなり前に書かれた記事です。今となっては、その中の考え方は学ぶ価値があるように思えます。jb5...

文字列の最初の文字を取得してテキストアイコン機能を実現する純粋なCSS

CSS でテキストアイコンを実装する方法 /*アイコンスタイル*/ .nav-icon-norma...

モバイルデバイス用のメタタグ設定の完全なリスト

序文以前フロントエンドを勉強していたとき、メタタグに対する私の理解はこの一文だけでした。 <メ...

HTMLはWEB標準の開発の中心的な基盤です

HTML 中心のフロントエンド開発は、ほぼ Web 標準の意味です。共通しているのは「分離」という考...

MySQL ページングパフォーマンスの調査

一般的なページング方法: 1. エスカレーター方式エスカレーター方式では通常、前のページ/次のページ...

HTMLのタグについての簡単な説明

0. タグとは何ですか? XML/HTML コードコンテンツをクリップボードにコピー<入力 t...

Linux 占有ポートの強制解放と Linux ファイアウォールのポート開放方法の詳しい説明

nginx、mysql、tomcat などのサービスをインストールするときに、使用する必要があるポー...

CocosCreator ユニバーサルフレームワークデザインネットワーク

目次序文Websocketの使用Websocketオブジェクトの構築Websocket ステータスW...

js 配列 fill() 充填メソッド

目次1. fill() 構文2. fill() の使用3. まとめ序文:配列の初期化方法についてはよ...

JavaScript で長い画像のスクロール効果を実装する

この記事では、JavaScriptの長い画像スクロールの具体的なコードを参考までに共有します。具体的...