欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  科技

Linux 下如何隐藏自己不被发现?

程序员文章站 2022-05-03 10:46:02
可能在某些情况下,自己运行的程序不想或者不方便被其他人看到,就需要隐藏运行的进程。或者某些攻击者采用了本文介绍的隐藏技术,也可以让大家看到如何进行对抗。 隐藏有两种方法: 1. kernel 层面,不对用户层暴露该进程的信息,进程不被看见; 2. 用户层可以看到该进程信息,但不是以真实的身份出现,而 ......

可能在某些情况下,自己运行的程序不想或者不方便被其他人看到,就需要隐藏运行的进程。或者某些攻击者采用了本文介绍的隐藏技术,也可以让大家看到如何进行对抗。
隐藏有两种方法:

  1. kernel 层面,不对用户层暴露该进程的信息,进程不被看见;
  2. 用户层可以看到该进程信息,但不是以真实的身份出现,而是伪造成别的程序出现,达到隐藏自己的目的。

方法一是需要修改内核,本文主要是讲第二种方法。

常用获取进程信息工具

在 linux 环境下,主要是通过 top、ps 等工具来查看当前运行的进程,他们主要是通过读取 /proc/ 文件系统来获取进程信息,读取哪些内容,我们可以通过 strace (该工具用于监控系统调用和信号) 工具查看,我们以 296277 进程为例。

top 获取进程信息

296277 进程信息

   pid user      pr  ni    virt    res    shr s  %cpu  %mem     time+ command                                                                                                              
 296277 wangshu+  20   0    2272   1380   1300 s   0.0   0.0   0:00.00 bash 

top 查看到 296277 进程的信息,我们一般主要关心的是最后一列,进程名。

strace 跟踪结果

stat("/proc/296277", {st_mode=s_ifdir|0555, st_size=0, ...}) = 0
openat(at_fdcwd, "/proc/296277/stat", o_rdonly) = 9
read(9, "296277 (bash) s 296271 296271 23"..., 1024) = 322
close(9)                                = 0
openat(at_fdcwd, "/proc/296277/statm", o_rdonly) = 9
read(9, "568 355 335 2 0 78 0\n", 1024) = 21
close(9)

从上面可以看到,主要是读取了 /proc/296277/stat 和 /proc/296277/statm 文件。

  • /proc/296277/stat 内容
296277 (bash) s 296271 296271 230491 34840 296271 4194304 94 155 0 0 0 0 0 0 20 0 1 0 94413592 2326528 345 18446744073709551615 94055941185536 94055941191257 140723269084624 0 0 0 0 4096 0 0 0 0 17 11 0 0 0 0 0 94055941201384 94055941202080 94055956852736 140723269087783 140723269087820 140723269087820 140723269091283 0
  • /proc/296277/statm 内容
568 345 325 2 0 78 0

可以看到 top 中的进程名是使用 /proc/296277/stat 中的第二项 (bash)。

ps -aux 获取进程信息

296277 进程信息

wangshu+  296277  0.0  0.0   2272  1380 pts/24   s+   18:59   0:00 /bin/bash

ps -aux 查看到 296277 进程的信息,最后一列是 bash 的完整路径名。

strace 跟踪结果

stat("/proc/296277", {st_mode=s_ifdir|0555, st_size=0, ...}) = 0
openat(at_fdcwd, "/proc/296277/stat", o_rdonly) = 6
read(6, "296277 (bash) s 296271 296271 23"..., 2048) = 322
close(6)                                = 0
openat(at_fdcwd, "/proc/296277/status", o_rdonly) = 6
read(6, "name:\tbash\numask:\t0022\nstate:\ts "..., 2048) = 1095
close(6)                                = 0
openat(at_fdcwd, "/proc/296277/cmdline", o_rdonly) = 6
read(6, "/bin/bash\0", 131072)          = 10
read(6, "", 131035)                     = 0
close(6)                                = 0
stat("/dev/pts24", 0x7ffe4ce31630)      = -1 enoent (no such file or directory)
stat("/dev/pts/24", {st_mode=s_ifchr|0620, st_rdev=makedev(0x88, 0x18), ...}) = 0
stat("/etc/localtime", {st_mode=s_ifreg|0644, st_size=545, ...}) = 0
stat("/etc/localtime", {st_mode=s_ifreg|0644, st_size=545, ...}) = 0
write(1, "wangshu+  296277  0.0  0.0   227"..., 104) = 104

从上面可以看到,主要是读取了 /proc/296277/stat、/proc/296277/status 和 /proc/296277/cmdline。

  • /proc/296277/cmdline 内容
/bin/bash

ps -aux 中进程名可以看到是从 /proc/296277/cmdline 读取到的。

上面列出来proc信息,可以从获取更详细的介绍。

小结

从上面实验中可以看到,进程名主要是通过 /proc/进程号/stat 和 /proc/进程号/cmdline 文件中获取。

隐藏技术实现

/proc/进程号/stat 和 /proc/进程号/cmdline 这些接口都是内核实现的,通过阅读内核代码得到:

  • /proc/进程号/stat 中的进程名对应的可执行文件的文件名;
  • /proc/进程号/cmdline 内容对应的是启动该进程的使用的路径,对应的是入口函数 main(int argc, char *argv[]) 中的 argv[0]。

为了实现隐藏,我们将伪造为 bash 进程, bash 进程比较常见,并且一般不会被过多关注。所以需要进行的操作有:

  1. 文件名修改为 bash;
  2. 运行时将 argv[0] 修改成 /bin/bash;
  3. 为了防止从 /proc/进程号/maps 中发现没有包含 /bin/bash,我们将 /bin/bash 文件 mmap 进我们的进程中。

{:.warning}
2中 android 环境中不能直接拿到argv[0] 怎么办? 在 unix 环境下,有定义全局变量 __progname_full, 该变量指向了 argv[0],可以直接使用 __progname_full 进行修改,当然在 linux 下同样适用。

代码示例

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

#include <sys/types.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/stat.h>
#include <sys/mman.h>

extern const char *__progname_full; // 引入该变量

int main(int argc, char **argv)
{
	int pid = getpid();
	printf("current pid: %d\n", pid);
	char buffer[100] = {0};
	char cmdline[100] = {0};
	sprintf(cmdline, "cat /proc/%d/cmdline", pid);
	system(cmdline);
	printf("\n");
	scanf("%s", &buffer);
	printf("%d change the name: %s\n", getpid(), buffer);

	//int size = strlen(__progname_full);      // 使用 __progname_full 进行修改 cmdline
	//printf("name len: %d\n", size);
	//memset((char *)__progname_full, 0, size);
	//strcpy((char *)__progname_full, buffer);

	int size = strlen(argv[0]);   // 使用 argv[0] 进行修改 cmdline
	printf("name len: %d\n", size);
	memset((char *)argv[0], 0, size);
	strcpy((char *)argv[0], buffer);

	int fd = open(buffer, o_rdonly);     // 打开伪造后的可执行文件, mmap 到我们进程中
	if (fd < 0) {
		printf("not found the file:%s\n", buffer);
		return -1;
	}
	struct stat st;
	fstat(fd, &st);
	void *addr = mmap(null, st.st_size, prot_read, map_private, fd, 0); // 可读 map
	if (addr == map_failed) {
		printf("mmap failed\n");
	}
	void *addr1 = mmap(null, st.st_size, prot_read | prot_write, map_private, fd, 0); // 读写 map
	if (addr1 == map_failed) {
		printf("mmap1 failed\n");
	}
	void *addr2 = mmap(null, st.st_size, prot_read | prot_exec, map_private, fd, 0); // 读可执行 map
	if (addr2 == map_failed) {
		printf("mmap2 failed\n");
	}
	system(cmdline);
	printf("\n");
	scanf("%s", &buffer);
	munmap(addr, st.st_size);
	munmap(addr1, st.st_size);
	munmap(addr2, st.st_size);
	close(fd);

	return 0;
}

执行结果

current pid: 301929  # 当前进程
/home/f/doing/linux/change_name/bash  # 伪造前 cmdline
/bin/bash # 要伪造的可执行文件
301929 change the name: /bin/bash
name len: 36
/bin/bash # 伪造后的 cmdline

工具查看结果

ps -aux 查看

Linux 下如何隐藏自己不被发现?

top 查看

Linux 下如何隐藏自己不被发现?

可以看到都已经是 bash。

技术对抗

上述隐藏方式可以骗过 ps 和 top 工具,但是只是修改了名字,但可执行文件等信息没有改变,所以从其他信息可以推断出是进程名是伪造的,下面阐述几种方式。

/proc/进程名/exe

在 /proc/进程名/exe 中保存的真正执行的可执行文件,所以可以将该文件和伪造后的 /bin/bash 文件对比,若发现不同可以证明进程名是伪造的,但此时还不能确认真正的可执行文件,只能和文件系统中的其他可执行文件对比进行确认。

/proc/进程名/maps

linux 中内存的布局是有一定的规律的,如下图,地址从低到高,分别是elf可执行文件、data和bss区域、heap、memory map区域、stack等。我们可以根据这些信息来确认真正的可执行文件。

Linux 下如何隐藏自己不被发现?

来看下伪造进程的内存布局:

Linux 下如何隐藏自己不被发现?

从上面可以看出来,红色框是elf可执行文件、data和bss区域,其实就是进程的真正可执行文件,接着是 heap,后面是我们 mmap 伪造的 bash 文件,所以通过 /proc进程名/maps 可以确认出真正的可执行文件为 /home/f/doing/linux/change_name/bash。

小结

上面中 /proc/进程名/exe 能简单判断出进程名是否伪造,但不能确认真正的可执行文件,而通过 /proc/进程名/maps 可以非常直观的看到可执行文件的信息。除了这两种方式外,可能还有其他方法,比如 /proc/进程名/status 中 vmexe 字段,该字段是记录 text 段大小,和显示的可执行文件进行对比,确认是否有伪造。

总结

虽然原理上比较简单,但是提醒我们有这么一种方式,可以简单的骗过我们通过ps和top看到的信息。若发现系统中有异常,也可以通过技术对抗中提到的方式,确认是否有恶意程序存在。

ps

关注公众号,了解更多信息!

Linux 下如何隐藏自己不被发现?