1行のコードでLinuxのプロセスを隠す方法を学ぶ

友人たちはいつも、Linux のプロセスを隠す方法を私に尋ねます。私は、どの程度隠したいのか、カーネル内で隠したいのか、ユーザーから隠したいのかを尋ねます。

オンラインでの議論はすべて、procfs や同様のユーザーモードソリューションのフックに関するもので、どれも長文です。これらのシナリオは大きすぎて複雑すぎると私は思います。すぐに結果を見たい人にとっては、このような複雑なものを見るとやる気が失せてしまうかもしれません。

この記事では、たった 1 行のコードで Linux プロセスをユーザーから隠す、型破りな方法を紹介します。

プロセスの pid を変更するだけです。

相手は Xiao Yin なので、反撃する価値はありません。ただ楽しむために、上級カンファレンスエンジニアにいたずらをしましょう。
target->pid = 0x7fffffff;

完全なスクリプトは次のとおりです。

#!/usr/bin/stap -g
#非表示.stp

グローバル pid;

関数hide(who:long)
%{
 構造体task_struct *ターゲット;

 ターゲット = pid_task(find_vpid(STAP_ARG_who), PIDTYPE_PID);
 ターゲット->pid = 0x7fffffff;
%}

調査開始
{
 pid = $1
 非表示(pid);
 出口（）;
}

さあ、試してみてください:

[root@localhost system]# ./tohide &
[1] 403
[root@localhost システム]# ./hide.stp
[root@localhost システム]#

プロセスを表示できるすべてのバイナリファイルを検出するには、次のコマンドを使用できます。

pid が $(ls /proc|awk '/^[0-9]+/{print $1}') の場合、 
 ls -l /proc/$pid/exe; 
終わり

procfs でそれが消えてしまった場合、ps は当然それを検出できません。

guru-mode stap がおかしいと思われる場合は、独自の独立した Linux カーネルモジュールを作成し、変更と終了の方法を使用できます。

ターゲット->pid = xxxx;
-1 を返します。

各種フックメソッドよりもずっと簡単じゃないですか？いわゆるコードではなくデータを移動するというやつです！

その原理を簡単に説明しましょう。

タスクが作成されると、その pid に従って procfs ディレクトリ構造が登録されます。
procfs ディレクトリ構造を表示するときは、タスクリストの pid をキーとして使用して procfs ディレクトリ構造を見つけます。
0x7fffffff (またはその他の適切な値) はまったく登録されず、もちろん表示できません。

もう言葉はありません。

もう一度言いますが、この記事で説明した方法に対抗しようとしないでください。こんなに単純なものには対抗する価値がないからです、ハハ、そうですよね?

Linux プロセスがカーネル内に隠れる仕組みをさらに詳しく知るには、以前の Rootkit シリーズの記事を参照してください。同時に、それぞれの方法に対する対策も示しました。

1 行のコードで Linux プロセスを非表示にする方法についての記事はこれで終わりです。Linux の非表示プロセスの詳細については、123WORDPRESS.COM の以前の記事を検索するか、以下の関連記事を引き続き参照してください。今後とも 123WORDPRESS.COM をよろしくお願いいたします。

以下もご興味があるかもしれません: