總有朋友問隱藏Linux進程的方法，我說你想隱藏到什么程度，是大隱于內核，還是小隱于用戶。網上通篇論述的無外乎 hook 掉 procfs 或者類似的用戶態(tài)方案，也都難免長篇大論，我說，這些場面都太大了，太復雜了。對于希望馬上看到效果的而言，看到這么一堆復雜的東西，大概率望而卻步。

本文介紹一種將Linux進程小隱于用戶的非常規(guī)方法，僅僅一行代碼：

修改掉進程的pid即可。

注意是小隱，所以，不值得反制，逗一下高級會議工程師搞個惡作劇玩玩得了。

target->pid=0x7fffffff;

完整的腳本如下：

#!/usr/bin/stap-g

#hide.stp

globalpid;

functionhide(who:long)

%{

structtask_struct*target;

target=pid_task(find_vpid(STAP_ARG_who),PIDTYPE_PID);

target->pid=0x7fffffff;

%}

probebegin

{

pid=$1

hide(pid);

exit();

}

ff;

來來來，試一下：

[1]403

用下面的命令可以檢測所有可顯示進程的二進制文件：

forpidin$(ls/proc|awk'/^[0-9]+/{print$1}');do

ls-l/proc/$pid/exe;

done

procfs里沒了，ps當然就檢測不到了。

如果你覺得guru 模式的 stap 怪怪的，那么你完全可以編寫自己獨立的 Linux kernel module，采用修改完即退的方法：

target->pid=xxxx;

return -1;是不是比各種hook法簡單多了，所謂的動數(shù)據(jù)而不要動代碼!是不是比各種 hook 法簡單多了，所謂的動數(shù)據(jù)而不要動代碼!

簡單的說一下原理：

task被創(chuàng)建的時候，根據(jù)其pid注冊procfs目錄結構。

展示procfs目錄結構的時候，遍歷task list以其pid作為key來查找procfs目錄結構。

0x7fffffff(或者任何其它合理的值)根本沒有注冊過，當然無法顯示。

總結

以上是生活随笔為你收集整理的linux 进程可以把自己,如何将Linux进程小隐于用户？仅仅一行代码即可的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。