某些時候程序員為了不讓其他人不小心或者惡意破壞掉你運行的程序神帅,或者我們要做些“見不得光”的事情再姑,就有隱藏進程的需求,目的是讓小白或者初級運維無法通過ps或者top查找到你的程序找御,達到隱藏目的元镀。前兩天正好項目上需要用到隱藏進程的需求,所以分析了下個人覺得目前比較好的做法霎桅。
linux下查看進程的方法
ps命令
top命令
目前網(wǎng)上很多方法基本都是通過如下方式來達到進程隱藏:
1.根據(jù)分組權(quán)限來實現(xiàn)不同用戶組查看不同的進程權(quán)限栖疑。
2.修改內(nèi)核,將需要隱藏的進程的進程pid改為0(task->pid = 0)滔驶,因為ps,top命令不會顯示進程id為0的進程遇革。
3.修改內(nèi)核,hook掉系統(tǒng)調(diào)用揭糕,在hook函數(shù)中修改邏輯判斷已達到隱藏進程萝快。
第一種如果其他有管理員權(quán)限就沒有辦法隱藏了。第二三中需要懂內(nèi)核編程著角,今天我們說下第四種辦法:在用戶態(tài)修改系統(tǒng)調(diào)用揪漩,從而隱藏進程。
PS/TOP顯示進程原理
strace命令是一個常用的代碼調(diào)試工具吏口,它可以跟蹤到一個進程產(chǎn)生的系統(tǒng)調(diào)用,包括參數(shù)奄容,返回值,執(zhí)行消耗的時間锨侯。因此對于調(diào)試程序出錯是非常有用的嫩海。這里不過多展示strace的調(diào)試用法,具體可以查看詳細的strace命令囚痴。
我們看下ps叁怪,top是如何顯示進程信息的:
strace ps
strace top
通過strace命令可以看出 ps,top等查看進程的信息都是通過調(diào)用 readdir 方法遍歷 /proc 目錄來獲取進程信息深滚。每個動態(tài)創(chuàng)建的進程ID號下面詳細的記錄了關(guān)于該進程的fd,mem,io,cpuset等進程信息奕谭。
既然進程信息是proc目錄下動態(tài)生成的,因此最顯而易見和最徹底的方法就是不讓proc下生成該進程信息痴荐。通過查找代碼血柳,定位到內(nèi)核通過fs/proc/base.c中的proc_pid_lookup查找進程號,然后由proc_pid_instantiate來在proc下創(chuàng)建該進程號相關(guān)的進程信息生兆。因此我們只需要在proc_pid_lookup中匹配要過濾的進程名难捌,然后直接返回就行了,如下:
這種辦法徹底上不創(chuàng)建該進程信息,但是要修改編譯內(nèi)核根吁,實際上是不太可取的员淫。而我們目的也只是隱藏,不必完全屏蔽進程信息击敌。因此介返,有沒有一種辦法在用戶態(tài)通過劫持系統(tǒng)調(diào)用而忽略掉我們的進程呢?
本著絕不重復(fù)造輪子的工匠精神沃斤,瓶子哥搜羅了下圣蝎,還真有現(xiàn)成的,即通過劫持readdir系統(tǒng)調(diào)用實現(xiàn)ps,top無法查找到進程而達到隱藏進程衡瓶。
我們先實戰(zhàn)徘公,在看其實現(xiàn)原理。
1 . 實現(xiàn):
1) git clone https://github.com/gianlucaborello/libprocesshider.git
2) cd
libprocesshider/ && make
3) cp libprocesshider.so /usr/local/lib/
4)echo
/usr/local/lib/libprocesshider.so >> /etc/ld.so.preload
這一步也可以用export LD_PRELOAD=/usr/local/lib/libprocesshider.so來代替鞍陨。
執(zhí)行命令上述命令前步淹,運行mtop進程,ps可以查看到mtop的進程诚撵。
執(zhí)行上述命令后缭裆,ps 查看,可以發(fā)現(xiàn)已經(jīng)找不到該進程了寿烟,而且 top澈驼,ls /proc/下面也不能找到該進程,完美達到隱藏進程筛武。
2. 原理:
我們查看processhider.c源碼可以發(fā)現(xiàn)缝其,原理上就是重寫了readdir的系統(tǒng)調(diào)用,因為無論ps,top,ls 都會調(diào)用readdir徘六。我們只需要設(shè)置代碼里面的process_to_filter為自己需要屏蔽的進程名就行了内边。
而思路就是利用 LD_PRELOAD 來實現(xiàn)系統(tǒng)函數(shù)的劫持,程序在執(zhí)行外部庫函數(shù)調(diào)用的時候待锈,會根據(jù)動態(tài)庫的優(yōu)先級來加載庫函數(shù)漠其,linux下庫的加載順序為/etc/ld.so.preload( LD_PRELOAD)>/etc/ld.so.cache>/etc/ld.so.conf,當程序調(diào)用外部庫的函數(shù)竿音,如果LD_PRELOAD里面有自定義和其他系統(tǒng)庫相同的庫函數(shù)和屎,則優(yōu)先加載我們自定義的函數(shù),這樣就達到了劫持系統(tǒng)函數(shù)的目的春瞬。
由于ps,top,ls 等幾乎所有的查看命令都基于readdir系統(tǒng)調(diào)用柴信,所以能夠完美的隱藏掉進程,對付一般的小白是完全夠用了宽气。如果為了避免分析人員查找 /etc/ld.so.preload而定位到進程随常,我們可以不建立ld.so.preload文件潜沦,而使用LD_PRELOAD宏來定義庫的路徑。例如將export LD_PRELOAD=/usr/local/lib/libprocesshider.so 放到linux系統(tǒng)啟動過程中rc文件去加載线罕,加大定位的難度止潮。
