可能在某些情况下,自己运行的程序不想或者不方便被其他人看到,就需要隐藏运行的进程。或者某些攻击者采用了本文介绍的隐藏技术,也可以让大家看到如何进行对抗。
隐藏有两种方法:
- kernel 层面,不对用户层暴露该进程的信息,进程不被看见;
- 用户层可以看到该进程信息,但不是以真实的身份出现,而是伪造成别的程序出现,达到隐藏自己的目的。
方法一是需要修改内核,本文主要是讲第二种方法。
常用获取进程信息工具
在 Linux 环境下,主要是通过 top、ps 等工具来查看当前运行的进程,他们主要是通过读取 /proc/ 文件系统来获取进程信息,读取哪些内容,我们可以通过 strace (该工具用于监控系统调用和信号) 工具查看,我们以 296277 进程为例。
top 获取进程信息
296277 进程信息
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
296277 wangshu+ 20 0 2272 1380 1300 S 0.0 0.0 0:00.00 bash
top 查看到 296277 进程的信息,我们一般主要关心的是最后一列,进程名。
strace 跟踪结果
stat("/proc/296277", {st_mode=S_IFDIR|0555, st_size=0, ...}) = 0
openat(AT_FDCWD, "/proc/296277/stat", O_RDONLY) = 9
read(9, "296277 (bash) S 296271 296271 23"..., 1024) = 322
close(9) = 0
openat(AT_FDCWD, "/proc/296277/statm", O_RDONLY) = 9
read(9, "568 355 335 2 0 78 0
", 1024) = 21
close(9)
从上面可以看到,主要是读取了 /proc/296277/stat 和 /proc/296277/statm 文件。
- /proc/296277/stat 内容
296277 (bash) S 296271 296271 230491 34840 296271 4194304 94 155 0 0 0 0 0 0 20 0 1 0 94413592 2326528 345 18446744073709551615 94055941185536 94055941191257 140723269084624 0 0 0 0 4096 0 0 0 0 17 11 0 0 0 0 0 94055941201384 94055941202080 94055956852736 140723269087783 140723269087820 140723269087820 140723269091283 0
- /proc/296277/statm 内容
568 345 325 2 0 78 0
可以看到 top 中的进程名是使用 /proc/296277/stat 中的第二项 (bash)。
ps -aux 获取进程信息
296277 进程信息
wangshu+ 296277 0.0 0.0 2272 1380 pts/24 S+ 18:59 0:00 /bin/bash
ps -aux 查看到 296277 进程的信息,最后一列是 bash 的完整路径名。
strace 跟踪结果
stat("/proc/296277", {st_mode=S_IFDIR|0555, st_size=0, ...}) = 0
openat(AT_FDCWD, "/proc/296277/stat", O_RDONLY) = 6
read(6, "296277 (bash) S 296271 296271 23"..., 2048) = 322
close(6) = 0
openat(AT_FDCWD, "/proc/296277/status", O_RDONLY) = 6
read(6, "Name: bash
Umask: 0022
State: S "..., 2048) = 1095
close(6) = 0
openat(AT_FDCWD, "/proc/296277/cmdline", O_RDONLY) = 6
read(6, "/bin/bash�", 131072) = 10
read(6, "", 131035) = 0
close(6) = 0
stat("/dev/pts24", 0x7ffe4ce31630) = -1 ENOENT (No such file or directory)
stat("/dev/pts/24", {st_mode=S_IFCHR|0620, st_rdev=makedev(0x88, 0x18), ...}) = 0
stat("/etc/localtime", {st_mode=S_IFREG|0644, st_size=545, ...}) = 0
stat("/etc/localtime", {st_mode=S_IFREG|0644, st_size=545, ...}) = 0
write(1, "wangshu+ 296277 0.0 0.0 227"..., 104) = 104
从上面可以看到,主要是读取了 /proc/296277/stat、/proc/296277/status 和 /proc/296277/cmdline。
- /proc/296277/cmdline 内容
/bin/bash
ps -aux 中进程名可以看到是从 /proc/296277/cmdline 读取到的。
上面列出来proc信息,可以从proc文件内容介绍获取更详细的介绍。
小结
从上面实验中可以看到,进程名主要是通过 /proc/进程号/stat 和 /proc/进程号/cmdline 文件中获取。
隐藏技术实现
/proc/进程号/stat 和 /proc/进程号/cmdline 这些接口都是内核实现的,通过阅读内核代码得到:
- /proc/进程号/stat 中的进程名对应的可执行文件的文件名;
- /proc/进程号/cmdline 内容对应的是启动该进程的使用的路径,对应的是入口函数 main(int argc, char *argv[]) 中的 argv[0]。
为了实现隐藏,我们将伪造为 bash 进程, bash 进程比较常见,并且一般不会被过多关注。所以需要进行的操作有:
- 文件名修改为 bash;
- 运行时将 argv[0] 修改成 /bin/bash;
- 为了防止从 /proc/进程号/maps 中发现没有包含 /bin/bash,我们将 /bin/bash 文件 mmap 进我们的进程中。
{:.warning}
2中 Android 环境中不能直接拿到argv[0] 怎么办? 在 Unix 环境下,有定义全局变量 __progname_full, 该变量指向了 argv[0],可以直接使用 __progname_full 进行修改,当然在 Linux 下同样适用。
代码示例
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/types.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/stat.h>
#include <sys/mman.h>
extern const char *__progname_full; // 引入该变量
int main(int argc, char **argv)
{
int pid = getpid();
printf("current pid: %d
", pid);
char buffer[100] = {0};
char cmdline[100] = {0};
sprintf(cmdline, "cat /proc/%d/cmdline", pid);
system(cmdline);
printf("
");
scanf("%s", &buffer);
printf("%d change the name: %s
", getpid(), buffer);
//int size = strlen(__progname_full); // 使用 __progname_full 进行修改 cmdline
//printf("name len: %d
", size);
//memset((char *)__progname_full, 0, size);
//strcpy((char *)__progname_full, buffer);
int size = strlen(argv[0]); // 使用 argv[0] 进行修改 cmdline
printf("name len: %d
", size);
memset((char *)argv[0], 0, size);
strcpy((char *)argv[0], buffer);
int fd = open(buffer, O_RDONLY); // 打开伪造后的可执行文件, mmap 到我们进程中
if (fd < 0) {
printf("not found the file:%s
", buffer);
return -1;
}
struct stat st;
fstat(fd, &st);
void *addr = mmap(NULL, st.st_size, PROT_READ, MAP_PRIVATE, fd, 0); // 可读 map
if (addr == MAP_FAILED) {
printf("mmap failed
");
}
void *addr1 = mmap(NULL, st.st_size, PROT_READ | PROT_WRITE, MAP_PRIVATE, fd, 0); // 读写 map
if (addr1 == MAP_FAILED) {
printf("mmap1 failed
");
}
void *addr2 = mmap(NULL, st.st_size, PROT_READ | PROT_EXEC, MAP_PRIVATE, fd, 0); // 读可执行 map
if (addr2 == MAP_FAILED) {
printf("mmap2 failed
");
}
system(cmdline);
printf("
");
scanf("%s", &buffer);
munmap(addr, st.st_size);
munmap(addr1, st.st_size);
munmap(addr2, st.st_size);
close(fd);
return 0;
}
执行结果
current pid: 301929 # 当前进程
/home/f/doing/linux/change_name/bash # 伪造前 cmdline
/bin/bash # 要伪造的可执行文件
301929 change the name: /bin/bash
name len: 36
/bin/bash # 伪造后的 cmdline
工具查看结果
ps -aux 查看
top 查看
可以看到都已经是 bash。
技术对抗
上述隐藏方式可以骗过 ps 和 top 工具,但是只是修改了名字,但可执行文件等信息没有改变,所以从其他信息可以推断出是进程名是伪造的,下面阐述几种方式。
/proc/进程名/exe
在 /proc/进程名/exe 中保存的真正执行的可执行文件,所以可以将该文件和伪造后的 /bin/bash 文件对比,若发现不同可以证明进程名是伪造的,但此时还不能确认真正的可执行文件,只能和文件系统中的其他可执行文件对比进行确认。
/proc/进程名/maps
Linux 中内存的布局是有一定的规律的,如下图,地址从低到高,分别是ELF可执行文件、Data和Bss区域、HEAP、memory map区域、stack等。我们可以根据这些信息来确认真正的可执行文件。
来看下伪造进程的内存布局:
从上面可以看出来,红色框是ELF可执行文件、Data和Bss区域,其实就是进程的真正可执行文件,接着是 HEAP,后面是我们 mmap 伪造的 bash 文件,所以通过 /proc进程名/maps 可以确认出真正的可执行文件为 /home/f/doing/linux/change_name/bash。
小结
上面中 /proc/进程名/exe 能简单判断出进程名是否伪造,但不能确认真正的可执行文件,而通过 /proc/进程名/maps 可以非常直观的看到可执行文件的信息。除了这两种方式外,可能还有其他方法,比如 /proc/进程名/status 中 VmExe 字段,该字段是记录 text 段大小,和显示的可执行文件进行对比,确认是否有伪造。
总结
虽然原理上比较简单,但是提醒我们有这么一种方式,可以简单的骗过我们通过ps和top看到的信息。若发现系统中有异常,也可以通过技术对抗中提到的方式,确认是否有恶意程序存在。
PS
关注公众号,了解更多信息!
