Linux Security Module逆向分析实战

最新推荐文章于 2024-04-11 01:19:23 发布
最新推荐文章于 2024-04-11 01:19:23 发布
阅读量359 收藏
点赞数
分类专栏: 网络 安全 程序员 文章标签: linux 网络安全 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/120635846
版权

Linux Security Module逆向分析实战

本文记录了对某发行版Linux中一个安全模块(LSM)的逆向过程,该LSM对系统中待运行的程序进行安全校验,数据流穿越内核态与用户态,涉及系统内核及系统服务。此LSM对系统安全性的增强效果明显,其设计思路值得防守方研究学习,可于个人终端或服务器安全防护中应用。特此对逆向内容记录,希望能为读者在终端防护方面拓宽思路,同时欢迎感兴趣的师傅们交流学习。

一. LSM框架简介

Linux安全模块(Linux Security Module,LSM)框架是Linux操作系统内核提供的一种安全机制,它通过内核扩展实现hook函数以完成多种安全检查,通常用于强制访问控制(Mandatory Access Control)。虽然被称作“模块”,但不同于LKM,这些扩展并不是可加载的内核模块,而是和内核代码一起编译在内核文件(vmlinuz)中。可以通过如下命令查看本机启用的LSM,cat /sys/kernel/security/lsm。常见的LSM包括SELinux、Yama等。

LSM框架的hook点设置于内核访问关键对象前,通过调用LSM中实现的hook函数,判断是否可以进行访问。如果有多个LSM,则会根据初始化的顺序依次判断,都允许才能进行访问。上述关键对象包括程序、进程、套接字、文件系统等,可在/usr/src/linux-headers-YOURSYSTEMVERSION/include/linux/lsm_hooks.h中查看详细的hook说明。

这里以程序启动过程为例,简单说明LSM工作的机制。当通过execve系统调用执行一

最低0.47元/天 解锁文章
IT老涵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 1062
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
安全逆向分析实战
kali_Ma的博客
10-07 595
前言 本文记录了对某发行版Linux中一个安全模块(LSM)的逆向过程,该LSM对系统中待运行的程序进行安全校验,数据流穿越内核态与用户态,涉及系统内核及系统服务。此LSM对系统安全性的增强效果明显,其设计思路值得防守方研究学习,可于个人终端或服务器安全防护中应用。特此对逆向内容记录,希望能为读者在终端防护方面拓宽思路,同时欢迎感兴趣的师傅们交流学习。 一. LSM框架简介 Linux安全模块Linux Security Module,LSM)框架是Linux操作系统内核提供
SO逆向入门实战教程十:SimpleSign
lilac的博客
07-01 6556
一、前言 这是系列的第十篇,通过该样本可以充分学习如何在Unidbg中补充环境。朋友zh3nu11和我共同完成了这篇内容,感谢。 二、准备 首先我们发现了init函数,它应该就是SO的初始化函数,其余的函数看名字也都很易懂。 三、Init 模拟执行 我们首先用Unidbg跑通Init初始化函数,先搭建基本框架 package com.article10; import com.github.unidbg.AndroidEmulator; import com.github.unidbg.Module;
【安卓逆向】unidbg案例-某库存 sig sign分析
菜鸡小白的成长记录
01-01 892
新年的第一篇文章,新的一年继续加油,奥利给!冲冲冲。今天分析的app是爱库存,版本号6.1.6,这次还是使用unidbg分析该样本,加密参数有很多,不过只关注sig和sign两个参数。老规矩,上来先抓个包。
linux学习笔记4.0
qq_42002028的博客
08-26 2544
ilinux学习笔记 Linux哲学思想 一切都是一个文件(包括硬件) **小型,单一用途的程序 ** **链接程序,共同完成复杂的任务 ** **避免令人困惑的用户界面 ** 配置数据存储在文本中 第一周 linux基础入门 ps aux 1.查看当前终端设备 tty [19:30:06 root@RC ~]#tty /dev/pts/0 2.当前登录终端设备 who am i [19:41:59 root@RC ~]#who am i root pts/0
Android逆向 某州 解密sign字段 so层 算法分析 Unidbg模拟执行
zhoumi_
08-11 2544
跟着龙哥学 SO逆向入门实战教程一:OASIS 前言 功力不及龙哥百分之一文笔也是实力也是, 仅作为个人记录学习过程。 龙哥博客传送门 1. 需解密对象 “sign” 字段 跟着龙哥学的,忘了查壳用jadx打开之后发现文件有点少查壳之后发现是x60加固。掉以轻心了… 2. 脱壳 查壳 脱壳 直接上dump_dex.js 3. 定位到 java 关键函数 重新压缩成zip用jadx 再次打开 搜索 “sign” 去掉一些加载sdk的包名是个剩下框框之内,心急的朋友可能开始一个一个去点,
【转】Linux Kernel Security入门?
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
06-22 414
随着几何倍数增长的智能设备以及高频次的使用,各种的黑客攻击以及数据泄露事情频繁发生,这也让设备安全和信息安全成了绝大多数公司最为关注和人力财力投入的领域。每天用到的手机、电脑,开的汽车,公司使用的服务器,浏览的网站等等,云网边端越来越多应用到各个行业。所有这一切都基于芯片,而让芯片真正能让我们大家使用起来,魔力在于操作系统。要问目前世界上什么操作系统应用最广、参与度最高,答案是Linux。安全的基座在芯片,芯片的基座在操作系统,操作系统的核心是内核。
安装 Kali NetHunter (完整版、精简版、非root版)、实战指南、ARM设备武器化指南、andrax、安卓渗透drozer
最新发布
freeking101的博客
04-11 7619
Kali NetHunter 是基于 Kali Linux 的一个免费开源的移动渗透测试平台,适用于 Android 设备。NetHunter 的3种版本NetHunter Rootless:无需 root,适用于 无 root 设备。NetHunter Lite:精简版,完整的NetHunter软件包,适用于没有自定义内核的root手机。NetHunter:完整版,完整的NetHunter软件包,适用于支持自定义内核的root手机。两个root版本都提供了额外的工具和服务。
网络安全应急响应技术实战指南
信安路上……
12-17 4745
文章转载:https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md 用于安全事件响应的工具与资源的列表,旨在帮助安全分析师与 DFIR 团队。 DFIR 团队是组织中负责安全事件响应(包括事件证据、影响修复等)的人员组织,以防止组织将来再次发生该事件。 目录 对抗模拟 工具集 书籍 社区 磁盘镜像创建工具 证据收集 事件管理 Li
Realtime Linux Security Module-开源
07-17
实时 Linux 安全模块 (LSM) 是 Linux 2.6 内核的可加载扩展。 它有选择地向特定用户组或应用程序授予实时权限。
Enforcer Linux Security Module (LSM)-开源
05-04
**Enforcer Linux Security Module (LSM) 开源详解** Enforcer Linux Security Module(LSM)是一种专门为提升Linux系统完整性设计的安全模块。它专注于保护文件系统的完整性,防止未经授权的修改,以此增强系统的...
Practical Linux Security Cookbook 2nd Edition
10-19
aws can be removed, and this book will help you learn about different types of Linux security to create a more secure Linux system. With a step-by-step recipe approach, the book starts by introducing...
The Linux Basic Security Module-开源
05-03
Linux BSM是一种审核工具,旨在将Sun的Solaris基本安全模块的功能引入Linux
linux-security-modules:存储我的玩具linux安全模块的地方
05-10
Linux安全模块 该存储库包含一小部分linux安全模块,这些模块是作为学习/实验过程的一部分编写的。 在编写本文时,存在的代码已针对最新的长期内核进行编译和测试,即5.10.17 。 如果将来希望将此代码移植到较新的...
通过蜜罐技术获取攻击者手机号、微信号【网络安全
热门推荐
HBohan的博客
03-04 1万+
蜜罐是对攻击者的欺骗技术,用以监视、检测、分析和溯源攻击行为,其没有业务上的用途,所有流入/流出蜜罐的流量都预示着扫描或者攻击行为,因此可以比较好的聚焦于攻击流量。
网络安全】新型网络犯罪攻防技术研究
HBohan的博客
10-20 8904
前言 ​ 大家好,我是风起。本次带来的是对于新型网络犯罪的渗透研究,区别于常规的渗透测试任务,针对该类站点主要核心不在于找出尽可能多的安全隐患,更多的聚焦于 数据 这个概念。值得注意的是,这里的数据更多时候指的是:代理身份、后台管理员身份、受害人信息、后台数据、 消费凭证 等信息。总的来说,一切的数据提取都是为了更好的落实团伙人员的身份信息。 ​ 所以无论是获取权限后的水坑钓鱼还是拿到数据库权限后提取信息亦或者提取镜像数据的操作都是在这个基础之上的。本文将以深入浅出的方式对渗透该类犯罪站点时的一些注意事项.
【内网渗透工具】炫彩蛇安装教程
HBohan的博客
11-10 7799
点击查看【学习资料】 Viper是一款图形化内网渗透工具,将内网渗透过程中常用的战术及技术进行模块化及武器化. Viper基础功能已集成杀软绕过,内网隧道,文件管理,增强命令行等基础功能. Viper通过模块的方式落地MITRE ATT&CK中的常用技术.当前已集成55个模块,覆盖初始访问/持久化/权限提升/防御绕过/凭证访问/信息收集/横向移动等大类. Viper可以帮助你以直观/可视化的方式使用metasploit-framework. 项目地址:https://github.com/Funn
SQLite 数据库注入总结
HBohan的博客
10-09 6259
前言 SQLite 是一个进程内的库,实现了自给自足的、无服务器的、零配置的、事务性的 SQL 数据库引擎。它是一个零配置的数据库,这意味着与其他数据库不一样,您不需要在系统中配置。SQLite 与 MySQL 还是有些区别的,SQLite 直接读写普通磁盘文件,每一个数据库就是一个文件,可以按应用程序需求进行静态或动态连接其存储文件进行数据操作。 SQLite 基础 在本篇文章中我们使用 SQLite3 来学习,SQLite3 的语法与 MySQL 相似。详细语法可以在这里学习:https://www.r
Spring Security 3.x实战:企业级安全构建与应用
"实战Spring Security 3.x" 是一本由罗时飞所著的实用指南,专注于介绍如何在企业级环境中快速构建和实现安全功能。该书针对的是Spring Security 3.0版本,它在当时的Java EE安全性编程模型上提出了创新的解决方案,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值