Modifying process names in Unix-like systems
10 months ago
- #Linux
- #UNIX
- #malware
- 探讨类UNIX系统中动态修改进程名的防御规避技术,可追溯至80年代末的莫里斯蠕虫病毒。
- 详述Linux修改进程名的方法,包括覆写`argv[0]`、使用`prctl`系统调用,以及更安全的替代方案如`PR_SET_MM`。
- 指出通过`comm`与`cmdline`字段差异及检查`/proc/[pid]/exe`原始二进制路径实现的检测机会。
- 分析其他类UNIX系统(BSD、Solaris)的进程名修改机制及限制,如无内核模块无法更改`comm`字段的特性。
- 介绍BSD系统的`setproctitle`作为直接覆写`argv`的安全替代方案,与Linux原生功能缺失形成对比。
- 解析Linux内核中涉及进程命名与内存管理的内部结构(`task_struct`、`mm_struct`)。
- 预告后续研究方向:篡改`/proc/[pid]/exe`、利用`LD_PRELOAD`或`ptrace`实现运行时代码替换等主题。