亚洲一级黄色片,激情久久久久久久,欧美黄色免费

Linux內(nèi)核通過inline hook實(shí)現(xiàn)隱藏進(jìn)程

這是我們操作系統(tǒng)的大作業(yè)。
原理就是inline hook 那個(gè) proc 文件系統(tǒng)，根目錄下的 readdir 的函數(shù)。
替換掉第三個(gè)參數(shù)，filldir。
代碼爆短，60來行。
Ubuntu 10.04 測(cè)試可用。

#include <linux/kernel.h>

#include <linux/kprobes.h>

#include <linux/module.h>

#include <linux/moduleparam.h>

#include <linux/fs.h>

int register_kprobe(struct kprobe *kp);

static struct kprobe kp = {

.symbol_name = "proc_pid_readdir",

};

static filldir_t old_filldir;

static int pid;

module_param(pid, int, 0744);

static int filldir(void * __buf, const char * name, int namlen, loff_t offset,

u64 ino, unsigned int d_type)

{

int p;

sscanf(name, "%d", &p);

if (p == pid)

return 0;

return old_filldir(__buf, name, namlen, offset, ino, d_type);

}

/* kprobe pre_handler: called just before the probed instruction is executed */

static int handler_pre(struct kprobe *pr, struct pt_regs *regs)

{

old_filldir = (filldir_t)regs->cx;

regs->cx = (typeof(regs->cx))filldir;

return 0;

}

static int __init k_init(void)

{

int ret;

kp.pre_handler = handler_pre;

ret = register_kprobe(&kp);

if (ret < 0) {

printk(KERN_INFO "register_kprobe failed, returned %d\n", ret);

return ret;

}

printk(KERN_INFO "Planted kprobe at %p; pid %d\n", kp.addr, pid);

return 0;

}

static void __exit k_exit(void)

{

unregister_kprobe(&kp);

printk(KERN_INFO "kprobe at %p unregistered\n", kp.addr);

}

module_init(k_init);

module_exit(k_exit);

MODULE_LICENSE("GPL");

sleep 1000 &

pid=`jobs -p`

echo 'before hide'

ps aux | grep $pid

insmod k.ko pid=$pid

echo 'after hide'

ps aux | grep $pid

rmmod k.ko

echo 'after unhide'

ps aux | grep $pid

posted on 2011-02-23 14:58 糯米閱讀(2307) 評(píng)論(1) 編輯收藏引用所屬分類: Linux

評(píng)論

# re: Linux內(nèi)核通過inline hook實(shí)現(xiàn)隱藏進(jìn)程 回復(fù) 更多評(píng)論

handler_pre() 函數(shù)中為什么 regs->cx 修改為hook函數(shù)就能執(zhí)行hook之后的函數(shù)?

我使用同樣的方式修改這個(gè)內(nèi)核函數(shù) usb_alloc_dev,然而regs->cx存放的并不是有效地地址,是0x00000001

2011-12-22 18:31 | quietjolt

刷新評(píng)論列表

只有注冊(cè)用戶登錄后才能發(fā)表評(píng)論。


相關(guān)文章: 去除dvsdk安裝的Ubuntu版本限制 Linux內(nèi)核通過inline hook實(shí)現(xiàn)隱藏進(jìn)程在Linux下使用BridgeWan代理 ubuntu下安裝精簡(jiǎn)而實(shí)用的桌面環(huán)境 dell m1330 xps筆記本linux下的無線網(wǎng)卡驅(qū)動(dòng)的安裝

網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

# re: Linux內(nèi)核通過inline hook實(shí)現(xiàn)隱藏進(jìn)程 回復(fù) 更多評(píng)論

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

糯米

Linux內(nèi)核通過inline hook實(shí)現(xiàn)隱藏進(jìn)程

評(píng)論

導(dǎo)航

隨筆分類

Links

最新評(píng)論

閱讀排行榜

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

糯米

Linux內(nèi)核通過inline hook實(shí)現(xiàn)隱藏進(jìn)程

評(píng)論

# re: Linux內(nèi)核通過inline hook實(shí)現(xiàn)隱藏進(jìn)程 回復(fù) 更多評(píng)論

導(dǎo)航

隨筆分類

Links

最新評(píng)論

閱讀排行榜

# re: Linux內(nèi)核通過inline hook實(shí)現(xiàn)隱藏進(jìn)程回復(fù) 更多評(píng)論