Home/Docs/Process & PID Hiding

Process & PID Hiding

Layer 1 — argv[0] Masquerade

Agent mengganti argv[0] saat startup dengan nama yang menyerupai system daemon.

ps aux hasil:   root  1234  0.0  systemd-sysconf

Layer 2 — /proc PID Hiding

Entry /proc/<pid> di-bind mount dengan /dev/shm (tmpfs kosong).

stealth.HideFromProc() // mount --bind /dev/shm /proc/<pid>

Semua tool yang baca /proc via readdir() — ps, top, procfs — tidak melihat PID tersebut.

← Sebelumnya10 Lapis StealthBerikutnya →File Hiding