站长网 Linux 一行代码怎样删除Linux进程?

一行代码怎样删除Linux进程?

总有朋友问隐藏Linux进程的方法,我说你想隐藏到什么程度,是大隐于内核,还是小隐于用户。网上通篇论述的无外乎 hook 掉 procfs 或者类似的用户态方案,也都难免长篇大论,我说,这些场面都太大了,太复杂了。对于希望马上看到效果的而言,看到这么一堆复

总有朋友问隐藏Linux进程的方法,我说你想隐藏到什么程度,是大隐于内核,还是小隐于用户。网上通篇论述的无外乎 hook 掉 procfs 或者类似的用户态方案,也都难免长篇大论,我说,这些场面都太大了,太复杂了。对于希望马上看到效果的而言,看到这么一堆复杂的东西,大概率望而却步。

本文介绍一种将Linux进程小隐于用户的非常规方法,仅仅一行代码:

修改掉进程的pid即可。

注意是小隐,所以,不值得反制,逗一下高级会议工程师搞个恶作剧玩玩得了。

target->pid = 0x7fffffff; 

完整的脚本如下:

#!/usr/bin/stap -g 

# hide.stp 

 

global pid; 

 

function hide(who:long) 

%{ 

    struct task_struct *target; 

 

    target = pid_task(find_vpid(STAP_ARG_who), PIDTYPE_PID); 

    target->pid = 0x7fffffff; 

%} 

 

probe begin 

    pid = $1 

    hide(pid); 

    exit(); 

ff; 

来来来,试一下:

[root@localhost system]# ./tohide & 

[1] 403 

[root@localhost system]# ./hide.stp 

[root@localhost system]#  

用下面的命令可以检测所有可显示进程的二进制文件:

for pid in $(ls /proc|awk '/^[0-9]+/{print $1}'); do  

    ls -l /proc/$pid/exe;  

done 

procfs里没了,ps当然就检测不到了。

如果你觉得guru 模式的 stap 怪怪的,那么你完全可以编写自己独立的 Linux kernel module,采用修改完即退的方法:

target->pid = xxxx; 

return -1;是不是比各种hook法简单多了,所谓的动数据而不要动代码!是不是比各种 hook 法简单多了,所谓的动数据而不要动代码!

本文来自网络,不代表站长网立场,转载请注明出处:https://www.zwzz.com.cn/html/server/linux/2021/0525/6041.html

作者: dawei

【声明】:站长网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。
联系我们

联系我们

0577-28828765

在线咨询: QQ交谈

邮箱: xwei067@foxmail.com

工作时间:周一至周五,9:00-17:30,节假日休息

返回顶部