حالت موضوعي | حالت خطي

eilya · 2008-08-26, 12:41 AM,

Kernel Programming:

دوستان با سلام،

می خواستم رو کرنل 2.6 بتونم پروسس رو hide (پنهان) کنم، یعنی حتی اگه به /proc هم مراجعه شه، پروسس ران شده، مانیتور نشه، ممنون می شم تا جاییکه مقدور هست بنده رو یاری کنید.

با تشکر،
ایلیا

navi · 2008-08-26, 07:28 AM,

سلام
به نظر می رسه برای خرابکاری باشه ؟ !
بهرته یکم در مورد روت کیتها بخونی اونا این کار رو بخوبی انجام می دن

eilya · 2008-08-26, 09:03 AM,

آقا خیلی خیلی ممنون، واسه خرابکاری نیست(می دونید که خیلی پروسس های آنتی ویروس ها و البته خرابکار ها در حالت hide ران می شن Smile

) روت کیت که فرمودین خیلی عالیه ولی من کدش رو می خوام، راه هایی برای این نوع کار ها هست مثل تغییر نام پروسس که باعث نوعی پنهان شدن اون می شه، اما من دنبال کدی به این منظور هستم، یه جورایی پیچیده و سخته Sad

.
با تشکر فراوان،
ایلیا

eilya · 2008-08-27, 10:51 AM,

دوستان کسی اطلاعات بیشتری نداره؟

bayazee · 2008-08-27, 02:22 PM,

کد :
#include

#include

int main(argc, argv)

int argc;

char **argv;

{

char *p;

for (p = argv[0]; *p; p++)

*p = 0;

strcpy(argv[0], "rn");

(void) getchar (); /* to allow you to see that ps reports "rn" */

return(0);

}

این اسم برنامه رو به rn تغییر می ده ...

eilya · 2008-08-27, 06:16 PM,

دوست عزیز ممنونم، به نظرت من با مطرح کردن مطلب در بخش لینوکس و امنیت می تونم به پاسخ نزدیک تر شم؟
با تشکر،
ایلیا

2008-08-28, 08:46 AM,

کد :
hiding processes  ( understanding the linux scheduler )

http://www.phrack.com/issues.html?issue=63&id=18

مريم

2008-08-28, 04:10 PM,

bayazee نویسنده :
کد :
#include #include int main(argc, argv) int argc; char **argv; { char *p; for (p = argv[0]; *p; p++) *p = 0; strcpy(argv[0], "rn"); (void) getchar (); /* to allow you to see that ps reports "rn" */ return(0); }

این اسم برنامه رو به rn تغییر می ده ...

واقعا بهتون تبریک میگم! با این کد فقط خودتون رو گول میزنید، اسم پردازش تغییری نمیکند!

2008-08-28, 05:08 PM,

با سلام و عرض ادب

اگر به procسری بزنید و به دایرکتوری مربوط به شماره پروسس بروید همه چیز عیان خواهد شد

eilya · 2008-08-28, 10:29 PM,

سلام دوستان،

مریم خانم واقعا ممنون متن پر باری بود، مهمان عزیز فکر کنم کد مربوط به تغییر نام در کرنل 2.4 موثره این کد رو من تو یه سایت هک هم دیده بودم (همون سایتی که 3 پست بالاتر، مریم خانم ازش نقل مطلب کردن) می تونی راجع به proc توضیح بیشتری بدی؟ خیلی سربسته گفتید، اگه تا حد امکان بیشتر توضیح بدی، ممنون می شم.
راه حلی که بیشتر به ذهنم رسید، استفاده از thread هست (البته در مقاله ای که مریم خانم زحمتش رو کشیدن هم این مقوله مورد استفاده قرار گرفته بود) به این صورت که برنامه مورد نظر با thread فراخوانی شه و از اونجایی که نام thread و پروسس والد (parent) یکسان هست، بتونیم عمل پنهان کردن رو انجام بدیم، نظرتون چیه؟ راه بهتری سراغ دارین؟

با تشکر فراوان از توجهتون،
ایلیا