共計 1190 個字符，預計需要花費 3 分鐘才能閱讀完成。

自動寫代碼機器人，免費開通

丸趣 TV 小編給大家分享一下怎么隱藏 Linux 進程，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

總有朋友問隱藏 Linux 進程的方法，我說你想隱藏到什么程度，是大隱于內核，還是小隱于用戶。網上通篇論述的無外乎 hook 掉 procfs   或者類似的用戶態方案，也都難免長篇大論，我說，這些場面都太大了，太復雜了。對于希望馬上看到效果的而言，看到這么一堆復雜的東西，大概率望而卻步。

將 Linux 進程小隱于用戶的非常規方法，僅僅一行代碼：

修改掉進程的 pid 即可。

注意是小隱，所以，不值得反制，逗一下高級會議工程師搞個惡作劇玩玩得了。

target- pid = 0x7fffffff;

完整的腳本如下：

#!/usr/bin/stap -g # hide.stp global pid; function hide(who:long) %{ struct task_struct *target; target = pid_task(find_vpid(STAP_ARG_who), PIDTYPE_PID); target- pid = 0x7fffffff; %} probe begin { pid = $1 hide(pid); exit(); } ff;

來來來，試一下：

[root@localhost system]# ./tohide   [1] 403 [root@localhost system]# ./hide.stp [root@localhost system]#

用下面的命令可以檢測所有可顯示進程的二進制文件：

for pid in $(ls /proc|awk  /^[0-9]+/{print $1}  do ls -l /proc/$pid/exe; done

procfs 里沒了，ps 當然就檢測不到了。

如果你覺得 guru 模式的 stap 怪怪的，那么你完全可以編寫自己獨立的 Linux kernel module，采用修改完即退的方法：

target- pid = xxxx;

return -1; 是不是比各種 hook 法簡單多了，所謂的動數據而不要動代碼! 是不是比各種 hook 法簡單多了，所謂的動數據而不要動代碼!

簡單的說一下原理：

task 被創建的時候，根據其 pid 注冊 procfs 目錄結構。

展示 procfs 目錄結構的時候，遍歷 task list 以其 pid 作為 key 來查找 procfs 目錄結構。

0x7fffffff(或者任何其它合理的值) 根本沒有注冊過，當然無法顯示。

以上是“怎么隱藏 Linux 進程”這篇文章的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注丸趣 TV 行業資訊頻道！

向 AI 問一下細節

丸趣 TV 網 – 提供最優質的資源集合！