惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

爱范儿
爱范儿
P
Palo Alto Networks Blog
月光博客
月光博客
H
Hackread – Cybersecurity News, Data Breaches, AI and More
I
InfoQ
aimingoo的专栏
aimingoo的专栏
腾讯CDC
T
Threatpost
D
DataBreaches.Net
Vercel News
Vercel News
F
Fortinet All Blogs
Engineering at Meta
Engineering at Meta
C
Cybersecurity and Infrastructure Security Agency CISA
Forbes - Security
Forbes - Security
U
Unit 42
C
Check Point Blog
Blog — PlanetScale
Blog — PlanetScale
O
OpenAI News
量子位
TaoSecurity Blog
TaoSecurity Blog
Microsoft Azure Blog
Microsoft Azure Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
V
Visual Studio Blog
Recorded Future
Recorded Future
云风的 BLOG
云风的 BLOG
Security Archives - TechRepublic
Security Archives - TechRepublic
The Last Watchdog
The Last Watchdog
S
Security Affairs
Attack and Defense Labs
Attack and Defense Labs
罗磊的独立博客
Stack Overflow Blog
Stack Overflow Blog
Microsoft Security Blog
Microsoft Security Blog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
V
V2EX
小众软件
小众软件
S
SegmentFault 最新的问题
www.infosecurity-magazine.com
www.infosecurity-magazine.com
W
WeLiveSecurity
AI
AI
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
博客园 - 聂微东
I
Intezer
Know Your Adversary
Know Your Adversary
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
P
Proofpoint News Feed
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
The Cloudflare Blog
博客园_首页
NISL@THU
NISL@THU
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO

博客园 - websec80

HexStrike AI:渗透测试助手部署与配置全指南 一个powershell的内网端口扫描工具 Burp抓包被WAF拦截?这个插件一键修改JA3指纹! 安装claude code phpmyadmin爆破go语言 ollama渗透模型安装ctf-player_elona 文件下载传输hfs Bettercap(中间人攻击神器) Save Multiple URLs快速保存当前所有打开的网页 URL 后渗透方面密码收集(浏览器、anydesk、数据库工具) frp telegram数据解密与账号劫持的研究 2024年度TOP100弱口令密码(附社会工程学字典生成器) 【APP攻防】小黄鸟(HttpCanary)免root手机抓包 ProxyPin开源免费抓包工具,支持Windows、Mac、Android、IOS、Linux 全平台系统 linux权限维持-服务管理 ettercap安装内网嗅探抓包 低权 Linux 键盘记录方案 HSTS 检查 后台爆破工具 - blasting 一款自动化提权工具 oracleShell oracle 数据库命令执行 Linux清除记录的常见方式
隐藏 Linux 进程新姿势mount
websec80 · 2025-04-29 · via 博客园 - websec80

最近在浏览国外安全论坛时,无意中发现了一种新型的 Linux 进程隐藏方法,技术虽然并不复杂,但实用性极高,对于红队行动或者对抗检测非常有价值。

1. 查看进程号

先找出目标进程的 PID,比如这里我们假设是 1248188。

ps -aux | grep 04e6dcb6kcp

2、利用 mount 和 bind 实现“隐身术”

# 以下命令需 root 权限执行

# mkdir -p spoof/fd; 
# mount -o bind spoof /proc/1248188;

执行完这些命令后,再查看 /proc/1248188/fd,你会发现

 如果没有隐藏进程,会显示下面内容

这是怎么回事?别急,我们一一来解析 

原理解析

mkdir -p spoof/fd

创建一个空目录结构 spoof/fd,用于后续绑定。

mount -o bind spoof /proc/6580

将 spoof 目录绑定挂载到 /proc/6580。这样,当系统或工具(比如 ps、top)访问 /proc/6580 时,其实看到的是 spoof 目录的内容,而非真实的进程信息。

如何检测这种伎俩?

其实也并非完全无迹可寻。通过检查 /proc/mounts,我们仍可以发现有文件系统被挂载到了进程目录下。

cat /proc/mounts | grep 6580

图片

输出的最后一行可能就是提示:

/dev/... /proc/6580 ...

💣 6. 清理 & 恢复

一旦需要恢复,可以通过如下命令卸载挂载点:

umount /proc/6580ps -aux | grep 6580

图片

🧩 总结

这种方式虽然并不是完全“无懈可击”,但搭配其他手段(比如隐藏网络连接、反调试、rootkit等),确实可以大大增加检测的难度。对于红队来说,是一个非常值得掌握的小技巧。✨