總有朋友問(wèn)隱藏Linux進(jìn)程的方法，我說(shuō)你想隱藏到什么程度，是大隱于內(nèi)核，還是小隱于用戶(hù)。網(wǎng)上通篇論述的無(wú)外乎 hook 掉 procfs 或者類(lèi)似的用戶(hù)態(tài)方案，也都難免長(zhǎng)篇大論，我說(shuō)，這些場(chǎng)面都太大了，太復(fù)雜了。對(duì)于希望馬上看到效果的而言，看到這么一堆復(fù)雜的東西，大概率望而卻步。

本文介紹一種將Linux進(jìn)程小隱于用戶(hù)的非常規(guī)方法，僅僅一行代碼：

修改掉進(jìn)程的pid即可。

注意是小隱，所以，不值得反制，逗一下高級(jí)會(huì)議工程師搞個(gè)惡作劇玩玩得了。

target-》pid = 0x7fffffff;

完整的腳本如下：

來(lái)來(lái)來(lái)，試一下：

用下面的命令可以檢測(cè)所有可顯示進(jìn)程的二進(jìn)制文件：

procfs里沒(méi)了，ps當(dāng)然就檢測(cè)不到了。

如果你覺(jué)得guru 模式的 stap 怪怪的，那么你完全可以編寫(xiě)自己獨(dú)立的 Linux kernel module，采用修改完即退的方法：

target-》pid = xxxx;

return -1;是不是比各種hook法簡(jiǎn)單多了，所謂的動(dòng)數(shù)據(jù)而不要?jiǎng)哟a！是不是比各種 hook 法簡(jiǎn)單多了，所謂的動(dòng)數(shù)據(jù)而不要?jiǎng)哟a！

簡(jiǎn)單的說(shuō)一下原理：

task被創(chuàng)建的時(shí)候，根據(jù)其pid注冊(cè)procfs目錄結(jié)構(gòu)。

展示procfs目錄結(jié)構(gòu)的時(shí)候，遍歷task list以其pid作為key來(lái)查找procfs目錄結(jié)構(gòu)。

0x7fffffff（或者任何其它合理的值）根本沒(méi)有注冊(cè)過(guò)，當(dāng)然無(wú)法顯示。
責(zé)編AJX