topคำสั่งอ่านข้อมูลจาก proc ซึ่งมีให้โดยตรงจากเมล็ด เพื่อซ่อนกระบวนการคุณต้องใช้รหัสภายในเคอร์เนลเพื่อทำการปิดบัง
นอกเหนือจากการใช้กรอบความปลอดภัยเช่น SELinux และ grsecurity (กล่าวถึงในคำตอบอื่น ๆ ) รหัสสไตล์ rootkit เป็นตัวเลือกเดียวที่เหลืออยู่ของคุณ ฉันพูดว่า "style" เพราะ "rootkit" โดยตัวมันเองไม่ได้เลวร้ายมันเป็นวิธีการใช้งานของมัน มีเหตุผลที่สมบูรณ์แบบที่อยู่เบื้องหลังการซ่อนกระบวนการจากผู้ใช้รายอื่นซึ่งเป็นสาเหตุที่ความสามารถนี้มีอยู่ในกรอบความปลอดภัย
เส้นทางพื้นฐานที่คุณต้องปฏิบัติตามเพื่อให้สิ่งนี้ทำงานได้คือการขอเข้าสู่ (หรือจี้ขึ้นอยู่กับว่าคุณมองอย่างไร) ฟังก์ชันในเคอร์เนล linux ที่แจก/proc/pid/ข้อมูล ฉันแสดงให้เห็นถึงวิธีการหนึ่งของ hooking ลงในฟังก์ชั่นเคอร์เนล linux ในโมดูลความปลอดภัยฉันเขียน
https://github.com/cormander/tpe-lkm
รหัส "ระดับสูง" สำหรับสิ่งนี้อยู่ในhijack_syscalls()วิธีการsecurity.cและเวทมนต์รายละเอียดอยู่ด้านหลังมันอยู่ในhijacks.cไฟล์
คุณอาจจะพบฟังก์ชั่นที่คุณต้องการเชื่อมโยงไปยังในfs/proc/ไดเรกทอรีของซอร์สโค้ดของเคอร์เนล linux โปรดทราบว่า linux ไม่ได้จัดเตรียม ABI ที่มีความเสถียรดังนั้นรหัสของคุณจะต้องเปลี่ยนแปลงบ้างเพื่อให้มันทำงานในเคอร์เนลรุ่นต่าง ๆ ของ linux นอกจากนี้โปรดทราบว่าคุณต้องมีสิทธิ์เข้าถึงรูทเครื่องอย่างเต็มที่เพื่อให้สามารถแทรกรหัสนี้ได้
UPDATE:
หากคุณหุ้มpid_getattrสัญลักษณ์เคอร์เนลด้วยรหัสเพิ่มเติมบางอย่างมันเป็นเรื่องง่ายที่จะทำ ฉันเพิ่งเพิ่มสิ่งที่ซ่อนกระบวนการในโมดูลเคอร์เนลดังกล่าว:
https://github.com/cormander/tpe-lkm/commit/899bd5d74764af343d5fee1d8058756ddc63bfe3
คุณสามารถทำสิ่งที่คล้ายกันได้โดยทำให้กระบวนการของผู้ใช้หรือกลุ่มที่ไม่สามารถดูได้โดยใครก็ตามยกเว้นผู้ใช้รูทและผู้ใช้นั้น การทำตามชื่อกระบวนการนั้นซับซ้อนกว่าเล็กน้อย แต่เป็นไปได้ ดูที่exe_from_mm()ฟังก์ชั่น pid_getattrโปรดทราบว่าอาจจะมีผลกระทบต่อประสิทธิภาพการทำงานของการใช้มันภายในของ
this_is_not_the_process_you_are_looking_for?