Linux免杀方案汇总(C语言)
Linux免杀方案汇总
- 1. 避免用户态监控(如`ptrace`、`LD_PRELOAD`注入)
- (1) 反调试(Anti-Debugging)
- (2) 检测`LD_PRELOAD`注入
- 2. 避免内核态监控(如`eBPF`、`kprobes`、`systemtap`)
- (1) 检测`eBPF`/`kprobes`挂钩
- (2) 直接调用`syscall`绕过监控
- (3) 使用`seccomp`限制系统调用
- 3. 隐藏进程和内存
- (1) 进程隐藏(类似Windows的DKOM)
- (2) 内存加密/混淆
- 4. 对抗动态分析(沙箱、调试器)
- (1) 检测沙箱环境
- (2) 延迟执行
- 5. 内核级对抗(Rootkit技术)
- 总结
在Linux系统中,防止监控(如杀毒软件、安全审计工具、调试器或内核模块)对进程的函数调用或行为进行跟踪,通常需要结合多种技术手段。Linux的监控机制与Windows不同(如没有类似Windows的SSDT钩子),但依然存在类似的动态追踪技术(如
ptrace、
eBPF、
LD_PRELOAD等)。以下是一些规避监控的方法:
1. 避免用户态监控(如ptrace、LD_PRELOAD注入)
(1) 反调试(Anti-Debugging)
Linux调试器(如gdb、strace)通常使用ptrace系统调用附加到进程进行监控。可以通过以下方式防止被ptrace跟踪:
#