通过内存泄漏达到模块隐藏

最新推荐文章于 2023-04-18 10:42:54 发布
最新推荐文章于 2023-04-18 10:42:54 发布
阅读量1.2k 收藏
点赞数
分类专栏: kernel hacking 文章标签: hook module leak table 桌面环境 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chobit_s/article/details/6035984
版权
本文探讨了一种通过内存泄漏来隐藏Linux内核模块的方法。在模块初始化时申请内存,复制模块所需函数和变量,修改内核函数或变量的地址,并在退出时不释放内存,以此实现模块的隐藏。这种方法虽然可以防止lsmod显示模块,但仍然可以通过其他途径检测到。作者还提供了实验代码,展示了如何修改系统调用来隐藏模块的存在。
摘要由CSDN通过智能技术生成
0.
  想了想module隐藏,感觉再怎么隐藏还是会被发现:-)干脆直接把模块删了 那就省事了!
 
1.YY下现有的技术
  其实也不是什么技术,就一句代码,放在模块初始化函数里:list_del(&__this_module.list),这样在用户态下lsmod就查不出来了。
但是其实还是可以查出来的,最简单的方法就是查看/sys/module/,发现可疑模块名字,再对比下lsmod结果
# insmod hidemodule.ko 
# lsmod |grep hidemodule [被隐藏看不到结果]
# ls /sys/module |grep hidemodule [被发现了]
hidemodule
#cat /sys/module/hidemodule/initstate
live
  这里可以进一步对/sys/module/hidemodule进行文件隐藏,就不多说了
 
2.内存泄漏
  想了个方法,不知道有人用了没,直接写在这了,懒得上网查了:
  1).模块init函数:申请足够多内存页面
  2).把模块中要用到的函数,变量copy到申请的页面里
  3).修改页面里要调用到的内核函数或者变量的偏移地址
  4).模块exit函数里*不*释放申请的内存页面,删除模块 (故意内存泄漏)
 
  为什要自己另开内存?
  因为模块在删除时候,会自动释放模块的内存空间,模块内函数和变量都将释放。
 
  有点麻烦的地方(至今未想到好方法)?
  2)中计算跳转指令的相对偏移,和引用变量的相对偏移。
  因为模块中调用函数的指令机器码是:e8 xx xx xx xx(call offset),这里offset是在insmod时候计算的被调函数相对于模块中指令地址的偏移
但是当我们将函数机器码原样copy到新内存页面里,offset就不在适合,需要自己重新计算,并且对于不同指令,不同调用计算方法都不一样,我对链接器又不
熟悉,没法还原其方法,只好自己手动计算了。
  另外计算一个函数代码段占用的内存空间,我也没有想到好的方法。
 
  方法就这样,至于要隐藏什么全靠自己,可以自己实现去了。
最低0.47元/天 解锁文章
chobit_s
关注
专栏目录
通过asan和tsan对内存越界、内存泄露、死锁等进行检测
qq_37174816的博客
05-21 754
ASan/TSan的性能开销通常比Valgrind/Helgrind低,ASan/TSan是通过编译时插入的代码来检测内存错误,因此在运行时的性能开销相对较小。注意:tsan的死锁检测是基于运行态(data race也一样),只有当thread2_main函数被执行到时,死锁问题才能被发现,所以需要完备的测试用例覆盖尽可能多的分支。AddressSanitizer(ASan)是一种内存错误检测工具,可以帮助我们发现C/C++程序中的内存错误,如缓冲区溢出、使用已释放的内存内存泄露等。
内存泄漏】Valgrind内存泄漏内存越界等检测(仿真的CPU)
小鱼菜鸟的博客
06-10 1132
目录 即看即用 详细 简介 Valgrind工具详解 安装 使用 检测内存泄漏 其他内存问题 memcheck 工具的常用选型 其他选项 附录 其他类似工具 实例分析: 03. 使用未初始化的内存 04. 使用野指针 05. 动态内存越界访问 06. 分配空间后没有释放 07. 不匹配使用delete或者free 08...
进程内存写入实现模块隐藏
07-06
用进程内存写入模块实现模块隐藏,输入进程ID号就能实现注入自身并隐藏
内存写入 隐藏模块注入
pluginL的博客
09-11 1734
思路: 1.获取自身SizeOfImage ImageBase 2.远程申请注入进程SizeOfImage大小的内存 内存位置随机 获得内存位置:ProcessAddr 3.申请一段SizeOfImage大小缓冲区,写入自身程序 内存位置:ImageBase 4.修复Image重定位表(参数为:ProcessAddr) 5.写入缓冲区ProcessAddr,SizeOfImage 6.远程线程申请入口点为DWORD WINAPI(LPVOID lparameter) 7.入口点修复导入表,因为
批处理隐藏一块内存空间存放私密文件
AI.PLAY
04-12 666
批处理隐藏一块内存空间存放私密文件
Linux C++ 获取某一进程的CPU占用率以及内存占用情况
热门推荐
黑夜童话的博客
05-02 2万+
最近做监控相关东西的时候,需要获取某一进程CPU以及内存使用情况,就简单的写了一下,代码具体如下: #include #include #include #include #include #define VMRSS_LINE 17 #define VMSIZE_LINE 13 #define PROCESS_ITEM 14 typedef struct { unsigned l
Windows内存隐藏技术初探
OSReact的专栏
06-29 2257
标 题: 【转载】Windows内存隐藏技术初探 作 者: NetRoc 时 间: 2007-12-17,11:30:41   NetRoc/cc682     最早看到Shadow Walker这种隐藏内存数据的技术的时间忘了,呵呵。大约是一年多或者两年以前吧。当时还只是提出了理论性的东西,没有人实现出来。前段时间搞NP玩的时候,对Themida和虚拟机深恶
IOS内存泄漏动静态方法排查
weixin_42024563的博客
11-03 2761
标题instrument动静态分析内存泄漏等问题简单观察内存静态分析概念可排查到的问题具体的操作部分问题及解决动态分析概念具体的操作 instrument动静态分析内存泄漏等问题 大家在实际开发中,有没有遇到app异常崩溃,界面dealloc方法不调用的问题呢?很可能是由于你的app出现了内存溢出,内存泄漏的问题,今天就和大家从简入深的探讨一下怎样通过xcode自带工具解决这样的问题。 先提出两个基本概念: 1,内存溢出(out of memory):是指在运行代码时,程序的内存突然增大,使得没有足够的内存
c++内存泄漏查找
The Coding World
09-23 1217
1、查找内存泄漏 top 查看内存情况 找到异常pid cat /proc/pid/maps 找到堆栈地址 gdbGameServer attach pid dump memory /tmp/test.dump 0x12121221 0x3431534151 more /tmp/test.dump (sudogdbattach6900) strings -n 20 test.du...
模块隐藏(LDR_MODULE链 与 PE特征)
零点起步
04-14 7770
比较常见的模块隐藏方法有抹去模块的PE头,断开进程的LDR_MODULE链,Hook模块枚举函数等。后面备注VAD隐藏。 //测试EXE,加载WaiGua.dll,再隐藏。 #include #include #include typedef struct _LSA_UNICODE_STRING { USHORT Length; USHORT MaximumLength; PW
openssl内存泄露问题
zxygww的专栏
11-12 4199
http://www.openssl.org/support/faq.html#PROG13 http://bbs.chinaunix.net/thread-988772-1-1.html 13. I think I've detected a memory leak, is this a bug? In most cases the cause of an apparent m
handler内存泄漏2016.11.15
kesohuang的专栏
11-15 245
一 出现handle的原因     UI的更新都是主线程更新的,Android规定:activity如果超过5S未处理完毕,就会提示应用无响应的问题,尤其处理大数据时就会出现此问题! 二 解决方案     使用handle把子线程中的数据更新到主线程 三 原理分析:     hangdle是运行在主线程中(UI),与子线程之间通过消息机制来来进行通信 四 内存泄漏: Handler
再谈隐藏进程中的DLL模块/黑月教主
lookWang的专栏
11-09 6154
 http://hi.baidu.com/_achillis/blog/item/59bf732623fbe509918f9d87.html 相当老的话题,大约一年前就写过这个东西了,不过那时候知识比较有限,也不了解内核,因此实现得很粗浅,现在再写一下,权当是对这个老问题的总结吧。先谈谈正规DLL的隐藏方法,这里说的正规DLL,是指用LoadLibrary以正常方式加载的DLL。一
解决大量调用Python subprocess.Popen产生的一些bug
pugongying1988的专栏
01-19 1万+
自从工作了就好久没发博客,还是出来冒个泡=。=  前段时间写的一个项目需要用python的subprocess.Popen大量调用某shell命令,运行到一定量级之后就会产生内存溢出,造成大量线程阻塞,然后就会造成([Errno 24] Too many open files)这个异常。  网上有人说是close_fds=True这个参数在python2.x默认没打开,这个参数可以关闭文件描述
Windows x64隐藏可执行内存
鬼手的博客
12-04 6777
Windows x64隐藏可执行内存
内核中隐藏内存(VAD详解)
最新发布
人生苦短,我用python
04-18 1350
VAD树以平衡二叉树的形式存储,记录了进程中每个内存区域的属性,如内存映射、保护等级和状态。隐藏内存的方法之一是修改目标进程的VAD树。获取目标进程的EPROCESS结构:要操作VAD树,首先需要找到目标进程的EPROCESS结构。遍历VAD树:从根节点开始,遍历整个VAD树以查找与注入内存区域关联的节点。获取VAD树根节点:从EPROCESS结构中,可以找到VadRoot字段,它包含了VAD树的根节点。修改或删除VAD节点:找到相关节点后,可以删除或修改该节点以隐藏内存区域。
驱动开发:内核遍历进程VAD结构体
CSDN
10-13 2万+
树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个。结构体,需要说明的是栈并不受VAD的管理。同样这是微软定义,如果想要的到最新的,自己下载WinDBG调试内核输入命令。内存块的属性,这个内存结构定义在WinDBG中可看到。结构的偏移值,每个系统都不一样,版本不同偏移值会不同。当需要得到该进程的VAD结构时,只需要使用。结构中可以找到VAD结构的相对偏移。可以看到在本系统中VAD的偏移是。头文件,并写入如下代码,此处的。来显示该进程的VAD树。结构树,这个结构通常在。
隐藏DLL模块( HideDll)
weixin_33859665的博客
07-05 3566
void HideDll() { HMODULE hMod = ::GetModuleHandle("MyHook.dll"); PLIST_ENTRY Head,Cur; PPEB_LDR_DATA ldr; PLDR_MODULE ldm; __asm { mov eax , fs:[0x30] ...
[译] Webpack——令人困惑的地方
weixin_33881140的博客
05-09 1045
原文 Webpack—The Confusing Partsissue讨论 Webpack是目前基于React和Redux开发的应用的主要打包工具。我想使用Angular 2或其他框架开发的应用也有很多在使用Webpack。 当我第一次看到Webpack的配置文件时,它看起来非常的陌生,我非常的疑惑。经过一段时间的尝试之后我认为这是因为W...
Node.js内存泄漏解析与node-memwatch工具
文章强调了寻找和修复内存泄漏的重要性,并特别提到了闭包在内存泄漏中的角色,尤其是在异步编程和回调函数使用中容易产生的隐性内存泄露问题。" 在Node.js环境中,内存泄漏是一个不容忽视的问题,因为随着时间推移...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值