入侵检测

Linux入侵监测系统LIDS原理（4）

2007-01-27　源自:学知识　网友评论　共有( )条评论! 信息反馈

本文章地址:http://net.xuezhishi.net/Manage/safe/2007-01-27/8080.html [将本信息与朋友分享!]

Linux入侵监测系统LIDS原理
　 4.2 隐藏进程

　　另外一个保护进程的方法就是隐藏进程。当一个黑客危机你的系统。他会登陆，然后会看看有没有一些已知的进程在监视它。然后他就杀死它。如果你隐藏了这个功能的进程，黑客就不会知道进程的所有情况并且你可以记录他在你系统上做的任何事情。

如何隐藏进程

　　为了隐藏进程，你必须在配置内核的时候提供一个完全的路径名。

　　当内核启动的时候，LIDS会访问文件结点到一个叫proc_to_hide[]的结构里。

在include/Linux/sched.h里

#ifdef CONFIG_LIDS_HIDE_PROC
#define PF_HIDDEN 0x04000000 /* Hidden process */
#endif

/* in fs/lids.c */

#ifdef CONFIG_LIDS_HIDE_PROC
struct allowed_ino proc_to_hide[LIDS_MAX_ALLOWED];
int last_hide=0;
#endif
....

/* in fs/lids.c , init_vfs_security(),
fill up the hidden process in proc_to_hide[]
*/
#ifdef CONFIG_LIDS_HIDE_PROC
lids_fill_table(proc_to_hide,&last_hide,LIDS_MAX_ALLOWED,
CONFIG_LIDS_HIDDEN_PROC_PATH);
#endif http://net.xuezhishi.net/Manage/safe/2007-01-27/8080.html

[评论][发送朋友][长点见识][放入收藏夹]

复制本文链接(URL)发送给朋友：

上一篇：无线入侵检测系统 ·下一篇：Linux入侵监测系统LIDS原理（3）