Prozessnamen ändern

[chrizstone]

Hi Leute, wenn ich beispielsweise ein Programm starte und mir dann die laufenden Prozesse anschaue steht mein kompletter Befehl in der Prozessliste! Wie kann ich das ändern? Vielen Dank schon mal!

[nepos]

Das ist normal. Wie schaust du dir denn die Prozessliste an?
Bei ps ist der Schalter -w dafür verantwortlich.
Bei top bzw. htop kann man das an-/abschalten.

[chrizstone]

also ich schaue sie mir mit ps -ef an! Das Ding ist einfach, das dieser Prozess nicht sofort erkannt werden soll!

[Spasswolf]

Dann muss wohl ein Rootkit her

[chrizstone]

naja nen rootkit wollte ich eigentlich nicht gleich nehmen!

Keine andere Möglichkeit?

[pluvo]

Keine andere Möglichkeit?

Sag einfach, was du vor hast. Dann kann man dir vielleicht helfen.

mfg pluvo

[chrizstone]

Naja ich muss für ein Projekt in der Uni, einen Keylogger installieren! Dieser soll dann von einem Kommolitionen gefunden werden! Es soll ihm aber natürlich nicht zu einfach gemacht werden! Deswegen die Namensänderung!

[nepos]

Naja, dann nenn das Ding doch einfach nach einem typischen Linux-Kommando. Wo ist nun dein Problem?

[chrizstone]

Sorry bin Neuling in Sachen Unix...Also du meinst einfach die Datei umbennen? Und dann halt starten?

[Saxman]

Prozess verstecken, Keylogger, Uniprojekt, Neuling in Sachen Unix...

Ich warte nur noch daß hier gleich jemand Vorsicht Kamera schreit!!

[nepos]

Sorry bin Neuling in Sachen Unix...Also du meinst einfach die Datei umbennen? Und dann halt starten?

Probier halt einfach mal ein wenig. Wenn du schon auf der Uni bist, wird man dir ja nicht alles haarklein vorkauen müssen oder?

[chrizstone]

Prozess verstecken, Keylogger, Uniprojekt, Neuling in Sachen Unix...

Ich warte nur noch daß hier gleich jemand Vorsicht Kamera schreit!!

Hahahahah, ich weiss jetzt was du denkst! Aber ich meine es ernst! Es ist ein Projekt in dem man was über Netzsicherheit lernen soll!

Wenn du es nicht glaubst, schau hier: http://www.nets-x.hs-bremen.de/ oder hier http://www.it-bildungsnetz.de/fileadmin ... Hacken.pdf

[kryzir]

Alle Argumente nach Verarbeitung überschreiben: argv

[Danielx]

Alle Argumente nach Verarbeitung überschreiben: argv

"cmdline" (also den Befehl inkl. Argumente, den man eingegeben hat) lässt sich so manipulieren, hier mal als Beispiel nur argv[0]:

Code: Alles auswählen

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int main(int argc, char **argv) {
        int argv0size = strlen(argv[0]);
        sleep(10);

        strncpy(argv[0],"test",argv0size);

        sleep(10);
        exit(EXIT_SUCCESS);
}

Aber der eigentliche Prozessname lässt sich dadurch nicht verändern (siehe z.B. "ps -A"), oder doch?

Gruß,
Daniel

[cosmac]

servus,

Code: Alles auswählen

        strncpy(argv[0],"test",argv0size);

Aber der eigentliche Prozessname lässt sich dadurch nicht verändern (siehe z.B. "ps -A"), oder doch?

etwas besser geht's noch:

Code: Alles auswählen

        strncpy(argv[0],"test",argv0size);
        prctl (PR_SET_NAME, argv[0], 0, 0, 0);

bringt aber auch nicht soo viel. Der nächste Schritt müsste dann sein, sich als Kernel-Thread zu tarnen. Dann könnte man statt "test" z.B. "[ata/1]" nehmen und pstree würde uns garnicht mehr anzeigen.

Aber wie wär's, wenn man den ganzen /proc-Baum fälschen würde? Also ungefähr so:
- ein Pseudo-Filesystem erzeugen
- den Inhalt vom echten /proc reinkopieren; natürlich ohne unseren Prozess
- umount /proc
- mount fake /proc
na gut, ich hör schon auf, zu viel Augustiner...

[Spasswolf]

Hat man denn überhaupt Rootrechte?

[Danielx]

Code: Alles auswählen

        strncpy(argv[0],"test",argv0size);
        prctl (PR_SET_NAME, argv[0], 0, 0, 0);

bringt aber auch nicht soo viel.

Ja, sehr schön, so lässt sich der Prozessname und cmdline manipulieren.

Der nächste Schritt müsste dann sein, sich als Kernel-Thread zu tarnen. Dann könnte man statt "test" z.B. "[ata/1]" nehmen und pstree würde uns garnicht mehr anzeigen.

Dadurch lässt sich pstree beeindrucken?

Gruß,
Daniel

[reox]

mh ich glaube net das ps sich nur an nahmen hält das wäre ja grob fahrlässig xD
wie ist denn das? Damit der px weiß ob es ein kernel task ist, wird er ja die flags von dem programm überprüfen, also in welchem space das rent (kernel oder user)... die müsste man dann fälschen
edit: bin grad draufgekommen das es eh wurscht ist... wenn ich ps faux eingeben wird der angreifer sofort überführt, da er von kthreadd gestartet werden muss und nicht zB von /bin/sh

[chrizstone]

Also ist es quasi nicht möglich einen Prozess ohe größeren Aufwand und ohne Rootkit zu verstecken? Mir würde es auch schon reichen wenn man es den Prozess einfach umbennnt!

Noch jemand ne Möglichkeit??

[Danielx]

Mir würde es auch schon reichen wenn man es den Prozess einfach umbennnt!

Wir haben dir doch die entsprechenden Code-Zeilen genannt, mit denen das möglich ist.
Oder was meinst du genau?

Noch jemand ne Möglichkeit??

In einem anderen User-Prozess verstecken.

Gruß,
Daniel

[chrizstone]

Naja, doch das meinte ich! Aber ich verstehe die Zeilen nicht wirklich...Bin wie gesagt noch Anfänger in Sachen Unix...

[habakug]

Hallo!

mh ich glaube net das ps sich nur an nahmen hält das wäre ja grob fahrlässig xD

Es ist noch schlimmer . Ein "strace ps" zeigt schnell, das ps sein allmächtiges Wissen aus /proc generiert. Man hat es also mit einem Dateisystem zu tun, in dem (wie bei "ls") mit sys_getdents gearbeitet wird. Jetzt müssen nur noch einige Dateien vor ps "versteckt" werden.
Ein anderer Ansatz ist das Array task_struct, das Pointer auf prev_task und next_task enthält. Könnte man den Prozess doch nur aus dieser Liste löschen...
Mal eben so im Fenster kann mal da wohl nichts machen.

Gruß, habakug