mirror of
https://github.com/eunomia-bpf/bpf-developer-tutorial.git
synced 2026-02-03 18:24:27 +08:00
485 B
485 B
使用 eBPF 隐藏进程或文件信息
隐藏 PID
编译:
make
使用方式:
sudo ./pidhide --pid-to-hide 2222
这个程序将匹配这个 pid 的进程隐藏,使得像 ps 这样的工具无法看到。
它通过挂接 getdents64 系统调用来工作,因为 ps 是通过查找 /proc/ 的每个子文件夹来工作的。PidHide 解除了与 PID 匹配的文件夹的链接,因此 ps 只能看到它之前和之后的文件夹。