一. 概述 目前通用的隐藏文件方法还是hooksys_getdents64系统调用, 大致流程就是先调用原始的sys_getdents64系统调用,然后在在buf中做过滤。修改sys_call_table是比较原始的rk技术了,碰到好点的管理员, 基本上gdb一下vm[color="#0000ff"]linux就能检测出来。 如何想做到更加隐蔽的话,就要寻找新的技术。 inline hook也是目前比较流行的做法,不容易检测。本文通过讲解一种利用inline hook内核中某函数, 来达到隐藏文件的方法...
Author: wzt EMail: wzt@xsec.org Site: http://www.xsec.org & http://hi.baidu.com/wzt85 Date: 2008-9-23 一. 概述 目前通用的隐藏文件方法还是hook sys_getdents64系统调用,大致流程就是先调用原始的sys_getdents64系统调用,然后再在buf中做过滤。修改sys_call_table是比较原始的rk技术了,碰到好点的管理员,基本上gdb一下vmlinux就能检测出来。如何想做到更加隐蔽的话,就要寻找新的技术。inline hook也是目前比较流行的做...
Author: wzt EMail: wzt@xsec.org Site: http://www.xsec.org & http://hi.baidu.com/wzt85 Date: 2008-9-23 一. 概述 目前通用的隐藏文件方法还是hooksys_getdents64系统调用, 大致流程就是先调用原始的 sys_getdents64系统调用,然后在在buf中做过滤。修改sys_call_table是比较原始的rk技术了, 碰到好点的管理员, 基本上gdb一下vmlinux就能检测出来。 如何想做到更加隐蔽的话,就要 寻找新的技术。 inline hook也是目前比较...
作者: mpuPosi 出自: http://www.linuxdiyf.com 今天差点误了事,太危险了。差点被发现,要不然我可就惨了。不知其它linux版本会不会这样,总之我的红旗linux系统是可以显示在Windows中隐藏的文件的。 今天下午朋友在linux中打开Windows的盘找文件,天呀,暴露了我在Windows下的行踪,一大批隐藏的东东差点就被发现了。幸亏我及时阻止朋友才没打开那些文件,要不然我可就难说了。平时都是在Windows下,今天心情好在linux...
2008-1-2 ULK Chpt. 12. The Virtual Filesystem When you mount a filesystem to a directory, the original files in the directory are hidden. But when the filesystem is unmounted, these files show up again. This is a good way to hide files for system administrators. 本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u/12325/showart_455317.html
