基于eBPF检测非法调试行为

最新推荐文章于 2024-01-26 21:36:02 发布
最新推荐文章于 2024-01-26 21:36:02 发布
阅读量615 收藏 11
点赞数 11
分类专栏: 系统安全 文章标签: linux 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andlee/article/details/134758475
版权

本文基于eBPF编写一个内核模块来监测ARM调试寄存器,来检测可能的非法调试行为,大致步骤如下:

1. 安装必要的软件和工具:确保系统已经安装了支持eBPF开发的必要软件和工具,如LLVM、Clang和libbpf等。同时,还需要ARM架构的开发环境。

2. 编写eBPF程序:使用C语言编写eBPF程序,该程序将在内核中执行。需要定义适当的eBPF指令和逻辑来监测ARM调试寄存器。ARM调试寄存器包括DSCR (Debug State Control Register),MDSCR (Monitor Debug State Control Register),DBGDTR (Debug Data Transfer Register)等。参考ARM体系结构文档来了解这些寄存器的详细信息。

3. 构建和加载内核模块:将eBPF程序编译为字节码,并构建一个内核模块,用于加载和运行eBPF程序。编写相应的Makefile来编译和构建内核模块。

4. 注册和加载内核模块:在内核中注册并加载编译好的内核模块。可以使用insmod命令在ARM平台上加载内核模块。确保系统支持加载内核模块的功能。

5. 测试和调试:在加载内核模块后,进行相应的测试和调试,确保eBPF程序能够正确地监测ARM调试寄存器。

编写eBPF程序的示例代码如下:

```c
#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/if_packet.h>
#include <linux/ip.h>
#include <linux/tcp.h>

SEC("filter")
int bpf_prog(struct __sk_buff *skb) {
    struct ethhdr *eth = bpf_hdr_pointer(skb);
    struct iphdr *ip = (struct iphdr *)(eth + 1);

    // 检测调试寄存器
    if (ip->protocol == IPPROTO_TCP) {
        struct tcphdr *tcp = (struct tcphdr *)(ip + 1);

        if (tcp->dest == ntohs(1234)) {
            // 检测到非法调试行为
            bpf_printk("Detected illegal debug activity\n");
        }
    }

    return XDP_PASS;
}
```

以上示例代码仅展示了如何在eBPF程序中检测TCP目标端口是否为1234,真正的非法调试检测逻辑和ARM调试寄存器的监测需要根据具体需求进行自定义。同时,编写适用于ARM架构的eBPF程序需要根据ARM的体系结构进行适配和调整。

车联网安全杂货铺
关注
专栏目录
检测非法调试,F12被管理员禁用解决方法
m0_54718486的博客
04-17 9922
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 检测非法调试,F12被管理员禁用前言一、强行F12二、油猴脚本hook注入三、Fiddler总结 前言 在我们在浏览器按下F12时,可能会出现标题所示字样,记3种解决方法 提示:以下是本篇文章正文内容,下面案例可供参考 一、强行F12 出现改画面按F12直至 debugger右键 一律不 停靠侧调整 点击第一个箭头 之后出现debugger或其他情况停住了继续反复进行一律不操作 最后刷新,按下F12问题解决 二、油猴脚本h.
chrome调试&代码逆向分析.docx
10-11
前端js加密解决方案及步骤教学,大神整理前端js逆向分析实例
aqi空气学习网-反调试
飞得更高肥尾沙鼠
08-07 3080
调试、无限debugger,如何绕过js反调试
一文教你如何使用 eBPF 检测分析用户态程序
youzhangjing_的博客
11-05 1174
eBPF 彻底改变了 Linux 内核中的可观察性。在我之前的系列文章中,我介绍了eBPF 生态系统的基本构建模块,简要介绍了XDP,并展示了它与 eBPF 基础设施如何密切合作,以便在网络堆栈中引入一个快速处理的数据路径。然而,eBPF 并不只是用在内核空间跟踪。如果我们可以在生产环境中运行的应用程序上也能享受 eBPF 驱动的跟踪的,这是不是很好呢?这就是uprobes发挥作用的地方。可以将它们看作是一种kprobes,它加载到了用户空间跟踪点而不是内核符号。
利用eBPF探测Rootkit漏洞
Peter的专栏
07-11 578
作者简介:许庆伟,Linux Kernel Security Researcher & Performance Develope如今,云原生平台越来越多的使用了基于eBPF安全探测技术。这项技术通过创建安全的Hook钩子探针来监测内部函数和获取重要数据,从而支持对应用程序的运行时做监测和分析。Tracee是用于Linux的运行时安全和取证的开源项目,它基于eBP...
基于eBPF/XDP快速转发
04-02
**基于eBPF/XDP快速转发** eBPF(Extended Berkeley Packet Filter)是Linux内核中的一个技术,它提供了一种安全、灵活的机制来在内核中执行用户定义的程序,而无需修改内核代码。XDP(eXpress Data Path)是eBPF的...
基于eBPF/XDP实现conntrack功能
06-19
但是 XDP 位置在进入网络栈之前,无法利用到内核栈的 conntrack 能力, Cilium 应该遇到同样的问题, 所以 Cilium 基于 eBPF 实现了 conntrack;换句话说,只要具备 Hook 能力,能拦截进出主机的每个报文,完全可以...
基于eBPF/XDP实现L4防火墙
02-27
互联网服务常常需要预防DDoS攻击,希望尽早丢弃攻击流量减少服务器资源的浪费。从概念上分析,防火墙是抵御DDoS的有效手段...但基于eBPF/XDP实现的防火墙能够更早处理攻击流量而不消耗CPU和内存资源,更高效,更安全
基于eBPF收集操作系统信息+使用时间序列模型进行智能化的异常情况检测(源码+项目说明).zip
最新发布
02-21
基于eBPF收集操作系统信息+使用时间序列模型进行智能化的异常情况检测(源码+项目说明).zip基于eBPF收集操作系统信息+使用时间序列模型进行智能化的异常情况检测(源码+项目说明).zip基于eBPF收集操作系统信息+...
eBPF内存泄露检测-arm64
qq_38232169的博客
01-26 926
把之前在x86-64平台上实现的内存泄露检测工具移植到 arm64 平台;
【JS逆向系列】某空气质量监测平台无限 debugger 与 python算法还原
zjq592767809的博客
02-28 2350
【JS逆向系列】某空气质量监测平台无限 debugger 与 python算法还原1.前置阅读2.过反调试3.js分析4.代码逻辑改写 1.前置阅读 样品地址:aHR0cHM6Ly93d3cuYXFpc3R1ZHkuY24v 本篇文章可能会省略某些过程,直接使用下面文章的结果,所以建议先阅读下面的文章。本篇文章也有与其他不一样的处理方法,以及单纯使用python来还原数据的加密和解密。 1.某空气质量监测平台无限 debugger 以及数据动态加密分析 2.Python 爬虫进阶必备 - 以 aqistud
Chrome 禁止调试
SeriousLose
05-01 1917
noDebugger.js let onDebug = function () { document.write('检测非法调试!请你停止调试后刷新本页面!'); }; setInterval(function () { let st, et; st = new Date().getTime(); et = new Date().getTime(); if ((et - st) > 1000) { onDebug(); } },
基于eBPF的恶意利用与检测机制
qq_36100288的博客
12-08 855
基于eBPF 的恶意利用与检测机制
chrome检测非法调试:修改Selenium中的 window.navigator.webdriver
shiGXW的博客
09-28 1605
通过 Google 的Chrome Devtools-Protocol(Chrome 开发工具协议)简称CDP,给定一段 JavaScript 代码,让 Chrome 刚刚打开页面,还没有运行网站自带的 JavaScript代码时,执行给定的代码。 使用driver.execute_cdp_cmd:根据 Selenium 的官方文档,传入需要调用的 CDP 命令和参数即可 # selenium3.141.0&chrome85 from selenium.webdriver import Chrome
selenium爬虫被检测到 该如何破?
Python1996的博客
08-18 7264
selenium爬虫被检测到 该如何破? 如何获取cookies? 使用的方法是通过 mitmproxy 蔽掉识别 webdriver 标识符的 js 文件。 首先下载mitproxy,pip安装方法: pip install mitmproxy基本使用方法:给本机设置代理ip 127.0.0.1端口8001(为了让所有流量走mitmproxy)具体方法请百度。 启动mitmproxy。w...
按F12显示非法调试解决方法
weixin_45978461的博客
08-11 5197
首先复制这一行代码在search中查询。 断点检查。 问题解决!
前端页面禁止调试debugger方法汇总
高先生的猫
06-08 9365
1.打开控制台直接跳转页面 <script> //debug调试时跳转页面 var element = new Image(); Object.defineProperty(element,'id',{get:function(){window.location.href="https://www.baidu.com"}}); console.log(element); </script> 2.打开控制台,页面内容显示"检测非法调试,请关.
基于ebpf写一个hello_world
11-24
以下是基于eBPF写一个hello_world的步骤: 1.安装依赖项和工具链 ```shell sudo apt-get update sudo apt-get install -y build-essential linux-headers-$(uname -r) libelf-dev clang llvm ``` 2.创建一个名为helloworld.bpf.c的文件,并将以下代码复制到文件中: ```c #include <linux/bpf.h> #include <linux/version.h> #include <stddef.h> #include <stdint.h> char _license[] SEC("license") = "GPL"; int _version SEC("version") = LINUX_VERSION_CODE; SEC("kprobe/sys_clone") int bpf_prog(void *ctx) { char msg[] = "Hello, World!"; bpf_trace_printk(msg, sizeof(msg)); return 0; } ``` 3.创建一个名为helloworld.c的文件,并将以下代码复制到文件中: ```c #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <linux/bpf.h> #include <bpf/libbpf.h> int main(int argc, char **argv) { struct bpf_object *obj; int prog_fd, err; /* Load the BPF object file */ err = bpf_prog_load("helloworld.bpf.o", BPF_PROG_TYPE_KPROBE, &obj, &prog_fd); if (err) { fprintf(stderr, "Failed to load BPF object file: %s\n", strerror(-err)); return EXIT_FAILURE; } /* Attach the BPF program to the kprobe/sys_clone kernel function */ err = bpf_attach_kprobe(prog_fd, BPF_PROBE_ENTRY, "sys_clone"); if (err) { fprintf(stderr, "Failed to attach BPF program to kprobe/sys_clone: %s\n", strerror(-err)); return EXIT_FAILURE; } /* Wait for the user to press Enter */ printf("Press Enter to detach the BPF program...\n"); getchar(); /* Detach the BPF program from the kprobe/sys_clone kernel function */ err = bpf_detach_kprobe(prog_fd, BPF_PROBE_ENTRY, "sys_clone"); if (err) { fprintf(stderr, "Failed to detach BPF program from kprobe/sys_clone: %s\n", strerror(-err)); return EXIT_FAILURE; } /* Clean up */ bpf_object__close(obj); return EXIT_SUCCESS; } ``` 4.编译和链接BPF程序 ```shell clang -O2 -target bpf -c helloworld.bpf.c -o helloworld.bpf.o ``` 5.编译和链接用户空间程序 ```shell clang helloworld.c -o helloworld -lbpf ``` 6.运行用户空间程序 ```shell sudo ./helloworld ``` 7.在另一个终端窗口中查看BPF程序的输出 ```shell sudo cat /sys/kernel/debug/tracing/trace_pipe ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

车联网安全杂货铺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值