在Linux可以通过一些隐藏技术手段,让我们无法发现操作记录、文档的修改、运行的进程等,这里做下介绍。

 

隐藏history历史操作命令

可以通过 set +o history 临时禁用SHELL历史功能,这意味着你所执行的所有操作都不会记录到历史中

$ set +o history 
$ echo "can u see me ?"
can u see me ?
$ history
 ……
 1935 2022-11-27 18:10:02 lvs
 1936 2022-11-27 18:10:05 history
 1937 2022-11-27 18:10:49 set +o history

history无法显示刚执行的echo命令,但是set +o history关闭记录功能的命令还在,这里可以手动删除即可

$ history -d 1937 
$ history 
……
 1935 2022-11-27 18:10:02 lvs
 1936 2022-11-27 18:10:05 history

彻底隐藏了历史操作了。想恢复操作记录,执行 set -o history 恢复即可。

 

注: 另外还有一种方式,需要将操作系统的环境变量 HISTCONTROL 设置为 ignorespace ,这样在执行命令时前面多增加一个空格即可隐藏操作。

 

进程隐藏

隐藏进程的方法大致可以分为两类,一类是用户态隐藏,另一类是内核态隐藏。其中的用户态常使用的方法有很多,这里介绍一下使用开源的libprocesshider,通过预加载动态链接库的方式来隐藏进程。

首先下载libprocesshider:

$ git clone https://github.com/gianlucaborello/libprocesshider.git

假设此次我们想隐藏的进程是test.py,修改文件processhider.c中所定义的程序名:

$ vim libprocesshider/processhider.c
static const char* process_to_filter = "test.py";

 

编译生成库文件:

$ cd libprocesshider 
$ make
gcc -Wall -fPIC -shared -o libprocesshider.so processhider.c -ldl

将编译生成的动态链接库文件拷贝至/usr/local/lib,并修改加载:

$ sudo mv libprocesshider.so /usr/local/lib 
$ sudo echo /usr/local/lib/libprocesshider.so >> /etc/ld.so.preload

准备一个简单的可执行文件:

$ vim test.py
#!/usr/bin/python
import time

while True:
    time.sleep(5)
    print("test")

给脚本增加可执行权限后运行:

$ chmod +x test.py 
$ ./test.py

管理员通过ps命令检查进程,是无法看到正在执行中的 test.py 进程

# ps -ef

隐藏vim的操作记录

我们在使用vim的时候,操作都会被记录在.viminfo文件中

 

这样会留下文件修改操作记录,可以通过修改vim的配置文件/etc/vimrc关闭此功能,最简便的方式是建议使用 vi 来代替vim。

隐藏文件修改时间

我们经常会通过查看文件修改时间,来判断文件是否被人为修改过,我们可以通过touch -r 命令来更改文件修改时间,例:

$ ls -lrt
-rw-r--r-- 1 root root 1994 11 25 12:00 profile.bak 
-rw-r--r-- 1 root root 1994 11 27 18:03 profile 
$ touch -r profile.bak profile
$ ls -lrt
-rw-r--r-- 1 root root 1994 11 25 12:00 profile.bak 
-rw-r--r-- 1 root root 1994 11 25 12:00 profile

可以看到,用 ls 命令显示的文档修改时间已经改回历史时间。

文件安全删除

shred 命令可安全地从硬盘上擦除数据,默认覆盖3次,可以通过 -n参数指定数据覆盖次数,例如:

$ shred -n 20 -v -f -z -u /tmp/secret

 

常规参数:

-f, --force 必要时修改权限以使目标可写

-n, --iterations=N 覆盖N 次,而非使用默认的3 次

–random-source=文件 从指定文件中取出随机字节

-s, --size=N 粉碎数据为指定字节的碎片(可使用K、M 和G 作为单位)

-u, --remove 覆盖后截断并删除文件

-v, --verbose 显示详细信息

-x, --exact 不将文件大小增加至最接近的块大小

-z, --zero 最后一次使用0 进行覆盖以隐藏覆盖动作