Linux下如何隐藏自己不被发现?

编程

可能在某些情况下,自己运行的程序不想或者不方便被其他人看到,就需要隐藏运行的进程。或者某些攻击者采用了本文介绍的隐藏技术,也可以让大家看到如何进行对抗。

隐藏有两种方法:

  1. kernel 层面,不对用户层暴露该进程的信息,进程不被看见;
  2. 用户层可以看到该进程信息,但不是以真实的身份出现,而是伪造成别的程序出现,达到隐藏自己的目的。

方法一是需要修改内核,本文主要是讲第二种方法。

常用获取进程信息工具

在 Linux 环境下,主要是通过 top、ps 等工具来查看当前运行的进程,他们主要是通过读取 /proc/ 文件系统来获取进程信息,读取哪些内容,我们可以通过 strace (该工具用于监控系统调用和信号) 工具查看,我们以 296277 进程为例。

top 获取进程信息

296277 进程信息

   PID USER      PR  NI    VIRT    RES    SHR S  %CPU  %MEM     TIME+ COMMAND                                                                                                              

296277 wangshu+ 20 0 2272 1380 1300 S 0.0 0.0 0:00.00 bash

top 查看到 296277 进程的信息,我们一般主要关心的是最后一列,进程名。

strace 跟踪结果

stat("/proc/296277", {st_mode=S_IFDIR|0555, st_size=0, ...}) = 0

openat(AT_FDCWD, "/proc/296277/stat", O_RDONLY) = 9

read(9, "296277 (bash) S 296271 296271 23"..., 1024) = 322

close(9) = 0

openat(AT_FDCWD, "/proc/296277/statm", O_RDONLY) = 9

read(9, "568 355 335 2 0 78 0

", 1024) = 21

close(9)

从上面可以看到,主要是读取了 /proc/296277/stat 和 /proc/296277/statm 文件。

  • /proc/296277/stat 内容

296277 (bash) S 296271 296271 230491 34840 296271 4194304 94 155 0 0 0 0 0 0 20 0 1 0 94413592 2326528 345 18446744073709551615 94055941185536 94055941191257 140723269084624 0 0 0 0 4096 0 0 0 0 17 11 0 0 0 0 0 94055941201384 94055941202080 94055956852736 140723269087783 140723269087820 140723269087820 140723269091283 0

  • /proc/296277/statm 内容

568 345 325 2 0 78 0

可以看到 top 中的进程名是使用 /proc/296277/stat 中的第二项 (bash)。

ps -aux 获取进程信息

296277 进程信息

wangshu+  296277  0.0  0.0   2272  1380 pts/24   S+   18:59   0:00 /bin/bash

ps -aux 查看到 296277 进程的信息,最后一列是 bash 的完整路径名。

strace 跟踪结果

stat("/proc/296277", {st_mode=S_IFDIR|0555, st_size=0, ...}) = 0

openat(AT_FDCWD, "/proc/296277/stat", O_RDONLY) = 6

read(6, "296277 (bash) S 296271 296271 23"..., 2048) = 322

close(6) = 0

openat(AT_FDCWD, "/proc/296277/status", O_RDONLY) = 6

read(6, "Name: bash

Umask: 0022

State: S "..., 2048) = 1095

close(6) = 0

openat(AT_FDCWD, "/proc/296277/cmdline", O_RDONLY) = 6

read(6, "/bin/bash", 131072) = 10

read(6, "", 131035) = 0

close(6) = 0

stat("/dev/pts24", 0x7ffe4ce31630) = -1 ENOENT (No such file or directory)

stat("/dev/pts/24", {st_mode=S_IFCHR|0620, st_rdev=makedev(0x88, 0x18), ...}) = 0

stat("/etc/localtime", {st_mode=S_IFREG|0644, st_size=545, ...}) = 0

stat("/etc/localtime", {st_mode=S_IFREG|0644, st_size=545, ...}) = 0

write(1, "wangshu+ 296277 0.0 0.0 227"..., 104) = 104

从上面可以看到,主要是读取了 /proc/296277/stat、/proc/296277/status 和 /proc/296277/cmdline。

  • /proc/296277/cmdline 内容

/bin/bash

ps -aux 中进程名可以看到是从 /proc/296277/cmdline 读取到的。

上面列出来proc信息,可以从proc文件内容介绍获取更详细的介绍。

小结

从上面实验中可以看到,进程名主要是通过 /proc/进程号/stat 和 /proc/进程号/cmdline 文件中获取。

隐藏技术实现

/proc/进程号/stat 和 /proc/进程号/cmdline 这些接口都是内核实现的,通过阅读内核代码得到:

  • /proc/进程号/stat 中的进程名对应的可执行文件的文件名;
  • /proc/进程号/cmdline 内容对应的是启动该进程的使用的路径,对应的是入口函数 main(int argc, char *argv[]) 中的 argv[0]。

为了实现隐藏,我们将伪造为 bash 进程, bash 进程比较常见,并且一般不会被过多关注。所以需要进行的操作有:

  1. 文件名修改为 bash;
  2. 运行时将 argv[0] 修改成 /bin/bash;
  3. 为了防止从 /proc/进程号/maps 中发现没有包含 /bin/bash,我们将 /bin/bash 文件 mmap 进我们的进程中。

{:.warning}

2中 Android 环境中不能直接拿到argv[0] 怎么办? 在 Unix 环境下,有定义全局变量 __progname_full, 该变量指向了 argv[0],可以直接使用 __progname_full 进行修改,当然在 Linux 下同样适用。

代码示例

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

#include <sys/types.h>

#include <unistd.h>

#include <fcntl.h>

#include <sys/stat.h>

#include <sys/mman.h>

extern const char *__progname_full; // 引入该变量

int main(int argc, char **argv)

{

int pid = getpid();

printf("current pid: %d

", pid);

char buffer[100] = {0};

char cmdline[100] = {0};

sprintf(cmdline, "cat /proc/%d/cmdline", pid);

system(cmdline);

printf("

");

scanf("%s", &buffer);

printf("%d change the name: %s

", getpid(), buffer);

//int size = strlen(__progname_full); // 使用 __progname_full 进行修改 cmdline

//printf("name len: %d

", size);

//memset((char *)__progname_full, 0, size);

//strcpy((char *)__progname_full, buffer);

int size = strlen(argv[0]); // 使用 argv[0] 进行修改 cmdline

printf("name len: %d

", size);

memset((char *)argv[0], 0, size);

strcpy((char *)argv[0], buffer);

int fd = open(buffer, O_RDONLY); // 打开伪造后的可执行文件, mmap 到我们进程中

if (fd < 0) {

printf("not found the file:%s

", buffer);

return -1;

}

struct stat st;

fstat(fd, &st);

void *addr = mmap(NULL, st.st_size, PROT_READ, MAP_PRIVATE, fd, 0); // 可读 map

if (addr == MAP_FAILED) {

printf("mmap failed

");

}

void *addr1 = mmap(NULL, st.st_size, PROT_READ | PROT_WRITE, MAP_PRIVATE, fd, 0); // 读写 map

if (addr1 == MAP_FAILED) {

printf("mmap1 failed

");

}

void *addr2 = mmap(NULL, st.st_size, PROT_READ | PROT_EXEC, MAP_PRIVATE, fd, 0); // 读可执行 map

if (addr2 == MAP_FAILED) {

printf("mmap2 failed

");

}

system(cmdline);

printf("

");

scanf("%s", &buffer);

munmap(addr, st.st_size);

munmap(addr1, st.st_size);

munmap(addr2, st.st_size);

close(fd);

return 0;

}

执行结果

current pid: 301929  # 当前进程

/home/f/doing/linux/change_name/bash # 伪造前 cmdline

/bin/bash # 要伪造的可执行文件

301929 change the name: /bin/bash

name len: 36

/bin/bash # 伪造后的 cmdline

工具查看结果

ps -aux 查看

top 查看

可以看到都已经是 bash。

技术对抗

上述隐藏方式可以骗过 ps 和 top 工具,但是只是修改了名字,但可执行文件等信息没有改变,所以从其他信息可以推断出是进程名是伪造的,下面阐述几种方式。

/proc/进程名/exe

在 /proc/进程名/exe 中保存的真正执行的可执行文件,所以可以将该文件和伪造后的 /bin/bash 文件对比,若发现不同可以证明进程名是伪造的,但此时还不能确认真正的可执行文件,只能和文件系统中的其他可执行文件对比进行确认。

/proc/进程名/maps

Linux 中内存的布局是有一定的规律的,如下图,地址从低到高,分别是ELF可执行文件、Data和Bss区域、HEAP、memory map区域、stack等。我们可以根据这些信息来确认真正的可执行文件。

来看下伪造进程的内存布局:

从上面可以看出来,红色框是ELF可执行文件、Data和Bss区域,其实就是进程的真正可执行文件,接着是 HEAP,后面是我们 mmap 伪造的 bash 文件,所以通过 /proc进程名/maps 可以确认出真正的可执行文件为 /home/f/doing/linux/change_name/bash。

小结

上面中 /proc/进程名/exe 能简单判断出进程名是否伪造,但不能确认真正的可执行文件,而通过 /proc/进程名/maps 可以非常直观的看到可执行文件的信息。除了这两种方式外,可能还有其他方法,比如 /proc/进程名/status 中 VmExe 字段,该字段是记录 text 段大小,和显示的可执行文件进行对比,确认是否有伪造。

总结

虽然原理上比较简单,但是提醒我们有这么一种方式,可以简单的骗过我们通过ps和top看到的信息。若发现系统中有异常,也可以通过技术对抗中提到的方式,确认是否有恶意程序存在。

PS

关注公众号,了解更多信息!

以上是 Linux下如何隐藏自己不被发现? 的全部内容, 来源链接: utcz.com/z/515485.html

回到顶部