Linux 隐藏进程

最新推荐文章于 2026-04-23 23:15:36 发布
原创 最新推荐文章于 2026-04-23 23:15:36 发布 · 1.9k 阅读 · 9
标签
#linux
文章介绍了隐藏进程的两种方法,包括用户级Rootkit使用LD_PRELOADhooklibc库,以及内核级rootkit通过摘链隐藏技术。后者通过直接操作内核对象,如摘除task_struct链表项,实现进程隐藏。还提到了AnLKMrootkit工具作为案例。

文章目录

一、 隐藏进程的几种方法

  1. 用户级Rootkit 通过LD_PRELOAD来hook libc库,从而过滤/proc/pid目录
  2. 内核级rootkit 通过hook系统调用getdents/getdents64或者hook 文件file_operation的iterate
  3. 内核级rootkit把task_struct从相关链表摘除(init_task,pidlist)

关于第一种hook方式可以参考上一篇文章Linux LD_PRELOAD Hook

二、摘链隐藏

这种方式属于DKoM(Direct Kernel Object Manipulation)攻击方式了,即直接内核对象操作技术。这里直接贴上大佬总结好的博客链接: Linux系统下如何隐藏自己的进程?
实现代码:

#include <linux/module.h>
#include <linux/sched.h>

/*摘链隐藏代码,只需要修改想要隐藏pid号就可以了*/
void hide_process(void)
{
    /* Linux kernel version 4.x.x */
    // int pid = 2;
    // struct task_struct *task = NULL;
    // struct pid_link *link = NULL;
    // struct hlist_node *node = NULL;

    // task = pid_task(find_vpid(pid), PIDTYPE_PID);
    // link = &
最低0.47元/天 解锁文章
Linux下的隐藏技术(文件隐藏进程隐藏、端口隐藏、权限隐藏、命令隐藏
墨痕诉清风的博客
10-23 619
这种技巧是关键记录删除,或者我们可以暴力点,比如前150行是用户的正常操作记录,150以后是攻击者操作记录。在Linux中,使用chattr命令来防止root和其他管理用户误删除和修改重要文件及目录,此权限用ls -l是查看不出来的,从而达到隐藏权限的目的。上面的命令会临时禁用历史功能,这意味着在这命令之后你执行的所有操作都不会记录到历史中,然而这个命令之前的所有东西都会原样记录在历史列表中。这种情况下我们怎么办?在shell中执行的命令,不希望被记录在命令行历史中,如何在linux中开启无痕操作模式呢?
linux 如何使用命令行隐藏特定进程和端口信息?一文教会你
代码简单说 Vue、JAVA、PHP、Node.js 熟练运用,接口、架构、性能全搞定。
01-15 433
在下创建新的netstat/bin/bash此中,在引号内可用分割多个筛选过滤条件,比如进程名称、IP 或端口。在下创建新的ps/bin/bash。
(渗透测试后期)Linux进程隐藏详解
热门推荐
qq_42882717的博客
03-27 1万+
文章目录(渗透测试后期)Linux进程隐藏详解前言Linux进程基础Linux进程侦查手段Linux进程隐藏手段一、基于用户态的进程隐藏方法1:小隐隐于/proc/pid——劫持readdir系统调用额外:加载至arm方法2:小隐隐于/proc/pid——mount 挂载二、基于内核态的进程隐藏方法3:大隐隐于内核——修改内核源码+系统调用方法4:大隐隐于内核——修改内核源码proc_pid_lookup方法5:大隐隐于内核——编写驱动/内核模块——LKM实现进程隐藏总结 (渗透测试后期)Linux进程隐藏
伪装术揭秘——Linux普通用户也能玩转的进程隐藏技巧(C/C++代码实现)
最新发布
chen1415886044的博客
04-23 408
文章摘要: 本文介绍了Linux系统中普通用户实现进程隐藏的技术原理。通过修改/proc文件系统中进程信息而非内核,使目标进程实际执行特定程序但在系统工具中显示为伪装程序。关键技术包括fork/execve创建伪装进程、ptrace操控子进程状态、prctl修改进程名称。实现步骤分为:解析用户指令、创建子进程、父进程操控子进程完成伪装、清理现场。整个过程无需root权限,仅修改自身创建的进程信息,符合Linux权限规则,适用于合法隐蔽监控等场景。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 4674
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 4369
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
一行代码隐藏Linux进程
TCP/IP
08-16 9318
总有朋友问隐藏Linux进程的方法,我说你想隐藏到什么程度,是大隐于内核,还是小隐于用户。 网上通篇论述的无外乎hook掉procfs或者类似的用户态方案,也都难免长篇大论,我说,这些场面都太大了,太复杂了。对于希望马上看到效果的而言,看到这么一堆复杂的东西,大概率望而却步。 本文介绍一种将Linux进程小隐于用户的非常规方法,仅仅一行代码: 修改掉进程的pid即可。 target->pid = 0x7fffffff; 完整的脚本如下: #!/usr/bin/stap -g # hide.stp
Linux系统下如何隐藏自己的进程
TCP/IP
04-02 5528
虽然并不建议直接使用root登录Linux系统,但很多时候,大家还是会用root登录,所以本文就假设你使用root登录了系统。 你想写一个进程,偷偷摸摸干点坏事,或者明目张胆地不断在屏幕上输出经理的手机号码,而这一切却又让经理要么发现不了,或者说即便被经理发现了也让他无能无力吗? 是的,你肯定想这么干,就像我一样,你唯一要做的,只是把你的这个进程隐藏掉。 隐藏进程这件事和经理无关,它是个手艺活儿。...
Linux进程隐藏】在Linux环境下添加系统调用实现进程隐藏
qq_51720181的博客
06-25 3644
linux下添加系统调用实现隐藏进程,保姆级教学
Linux当中如何隐藏和查看进程
因上努力,果上随缘。但行好事,莫问前程。
09-02 1万+
进程是执行程序的过程,类似于按照图纸,真正去盖房子的过程。同一个程序可以执行多次,每次都可以在内存中开辟独立的空间来装载,从而产生多个进程。不同的进程还可以拥有各自独立的IO接口。操作系统的一个重要功能就是为进程提供方便,比如说为进程分配内存空间,管理进程的相关信息等等,就好像是为我们准备好了一个精美的地址。进程信息是proc目录下动态生成,每个动态创建的进程ID号下面详细的记录了关于该进程的fd,mem,io,cpuset等进程信息。
聊一聊Linux进程隐藏的常见手法及侦测手段
大方子
10-01 1万+
0x00.前言 进程隐藏是恶意软件隐藏自身痕迹逃避系统管理人员发现的常用伎俩之一,当然,安全防护人员有时候也会使用到,比如隐藏蜜罐中的监控进程而不被入侵者觉察等。笔者也曾在多次安全应急响应经历中遇到过多各式各样的进程隐藏伎俩,了解进程隐藏的常见手法及发现手段是每一位安全运维工程师所应掌握的知识点。本文抛砖引玉,浅谈我所了解的Linux进程隐藏手段及发现技巧,也希望读者能够积极分享自己相关经验与...
linux隐藏进程
weixin_42871919的博客
10-14 1883
1. 本文所用到的工具在可以下载2. 思路就是利用 LD_PRELOAD 来实现系统函数的劫持LD_PRELOAD,是个环境变量,用于动态库的加载,动态库加载的优先级最高,一般情况下,其加载顺序为 LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/lib>/usr/lib。
【转】Linux进程隐藏的常见手法及侦测手段
tpriwwq的专栏
08-08 1万+
Linux系统中进程隐藏的常见手法及侦测方法
利用Windows进程隐藏进行权限维持
Karka_的博客
12-31 2755
进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在当代面向线程设计的计算机结构中,进程是线程的容器。程序是指令、数据及其组织形式的描述,进程是程序的实体。我们在计算机上的每个程序运行起来之后都可以被称作进程进程可以在任务管理器里面看见,如下所示。
win10驱动级-隐藏进程稳定不蓝屏技术
hzw320的博客
11-18 6455
支持到了win10 64位系统 , 支持隐藏目标进程(32/64位程序进程),隐藏后,连各种ark驱动工具都看不见我们的驱动隐藏进程隐藏进程呢,在之前很久以前的我们的game-ec 驱动模块usb版里 32位驱动 就有这个功能了 ,基本上按月付费租千元价格的驱动里才有 支持win10 64位系统的驱动隐藏进程。一般学员都知道隐藏进程的作用,但是自从微软系统出了win10 64系统后,但市面上那些驱动隐藏进程的不蓝屏的很少,有的也价格也非常贵,虽然市面上有出现了win10的驱动隐藏进程的驱动,
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏
weixin_44891742的博客
07-26 8228
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏
linux隐藏特定进程,linux 隐藏进程
weixin_39638048的博客
04-28 369
2、源码如下root@ubuntu:/var/srt/libprocesshider# cat processhider.c#define _GNU_SOURCE#include #include #include #include #include /** Every process with this name will be excluded*/static const char* proc...
【Windows】在任务管理器中隐藏进程
溡漪幽博客
10-02 4292
本篇利用 hook NtQuerySystemInformation 并进行断链的方法实现进程隐身,实测支持 taskmgr.exe 的任意多进程隐身。可以删除 dllmain 里面的hook 函数以及所有输出字符串。从外部进程通过注入远程线程的方式来实现动态调整隐身策略。本文发布于:2024.10.02。在此前的一篇,我们已经介绍过了。
掌握隐藏进程的原理及应用
weixin_36173034的博客
11-19 1733
本文还有配套的精品资源,点击获取 简介:隐藏进程是一种IT技术,通过特定方法使某些进程在系统监控工具中不可见。它有助于软件测试、隐私保护及特定应用,但同时也可能导致安全问题,如被恶意软件利用以逃避检测。隐藏进程的实现通常涉及修改系统API、代码注入、使用系统服务和系统权限操作。本篇将对隐藏进程的概念、方法和风险进行全面介绍,强调安全使用工具的重要性。 1. 进程的...
网络安全深度剖析:进程隐藏技术的攻防博弈与防御策略
m0_57836225的博客
09-22 2471
名称混淆:无论是在 Windows 还是 Linux 系统下,都可以将进程的名称设置得与系统正常进程或常用软件进程的名称相似,或者频繁改变进程名称,以迷惑管理员和安全软件。例如,将恶意进程的名称改为与系统服务进程类似的名称,如“svchost.exe”(Windows 系统中的合法服务进程)的变体,使其在进程列表中难以被快速识别。- 原理:将自身的代码注入到合法的进程地址空间中运行,这样在任务管理器等常规工具中,看到的是被注入的合法进程在运行,而实际上恶意代码也在该进程空间中执行,从而实现了隐藏
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值