2.6内核里劫持系统调用(转)

最新推荐文章于 2021-04-30 22:36:47 发布
最新推荐文章于 2021-04-30 22:36:47 发布
阅读量363 收藏
点赞数
文章标签: shell php
2.6内核里劫持系统调用(转)

  几乎所有的空用户间操作在系统内核里都是通过系统里的系统调用来实现的,前面也写了一篇有关系统调用的文章,这里再简单的介绍一下大至过程,当用户执行某一操作时,比如果打开文件的操作,打开文件的程序会调用到glib库中的open函数,而open函数最终在内核的实现就是open系统调用,当用户执行到open函数时,会由用户空间切换到内核内间,通过int 80进行切换,进入内核空间后会找到一个sys_call_table的符号,sys_call_table是一个指向系统调用号列表的指针,再在 sys_call_table里找到想应的系统调用号,再通过系统调用号找到内核的系统调用,再执行系统调用。


  劫持系统调用就是我们自己构造一个系统调用,想办法使sys_call_table相应的系统调用号指向我们自己构造的函数。在原来的2.2内核里,可以将sys_call_table直接导出,这样我们就很容易拿到sys_call_table的控制权来实现系统调用的劫持,但是从2.4的版本以后,考虑到安全问题不允许将sys_call_table再导出,这样就加大了取得sys_call_table控制权的难度,后面有人从/dev/kmem里读取sys_call_table的地址,再通过sys_call_table地址来实现系统调用的劫持,后来找到了一种更好的办法,可以不通过 /dev/kmem来直接找到sys_call_table的地址。这里重点讨论一下这种方法。


  这种方法的原理比较简单,但思路很好,实现过程是自已构建一个内核模块,在这个模块中导出一个sys_call_table,因为内核的 sys_call_table不允许导出,所以我们在自已编写的内核模块里实现sys_call_table的导出。我们在模块里找到int 80对sys_call_table的引用,找出sys_call_table的地址,再将我们将要导出的sys_call_table指向这个地址,这样就是使到导出的sys_call_table和真实的sys_call_table没区别。
实现代码如下:
getsyscall.c文件
代码::

#ifndef __SYSCALL_INCLUDE__
# define __SYSCALL_INCLUDE__
#endif
#ifdef MODVERSIONS
#include
#endif
#include
#include
MODULE_LICENSE("GPL");
MODULE_AUTHOR("xinhe ");
MODULE_DESCRIPTION("export the sys_call_table");
#if !defined(symname)
#error symname not defined
#endif
#define CALLOFF 100
unsigned symname; /* #define */
struct {
unsigned short limit;
unsigned int base;
} __attribute__ ((packed)) idtr;

struct {
unsigned short off1;
unsigned short sel;
unsigned char none,
flags;
unsigned short off2;
} __attribute__ ((packed)) * idt;

void set_symbol_addr(unsigned old_value, unsigned new_value)
{
struct module *mod;
struct kernel_symbol *s;
int i;
for (mod = THIS_MODULE, s = mod->syms, i = 0; i num_syms; ++i, ++s)
if (s->value == old_value)
{
s->value = new_value;
return;
}
/*遍历本模块的符号表,把本模块的一个也叫sys_call_table的符号的地址
设置为系统真正的sys_call_table的实际地址。 */
}

char * findoffset(char *start)
{
char *p;
for (p = start; p off2 off1;
/*查找int 80的入口地址*/
if ((p = findoffset((char *) sys_call_off)))
{
sct = *(unsigned *) (p + 3);
set_symbol_addr((unsigned) &symname, sct);
}
EXPORT_SYMBOL(sys_call_table);
return 0;
}

static void __exit fini(void)
{
}
module_init(init);
module_exit(fini);

getsyscall的makefile
代码::

obj-m :=getsyscall.o
EXTRA_CFLAGS := -Dsymname=sys_call_table
KDIR := /lib/modules/$(shell uname -r)/build
PWD := $(shell pwd)
default:
$(MAKE) -C $(KDIR) SUBDIRS=$(PWD) modules
clean:
$(RM) -rf .*.cmd *.mod.c *.o *.ko .tmp*


为了证明sys_call_table确实导出来,我们再来写一个系统调用劫持的模块来证明一下
getmkdir.c文件
代码::

#ifndef __GETMKDIR_INCLUDE__
# define __GETMKDIR_INCLUDE__
#endif
#include
#include
#include
#include
#include
#include
#include
MODULE_LICENSE("GPL");
MODULE_AUTHOR("xinhe ");
MODULE_DESCRIPTION("export the sys_call_table");
extern void *sys_call_table[];
int (*orig_mkdir)(const char *path);/*指向系统的mkdir*/
/*构造自己的mkdir*/
int hacked_mkdir(const char *path)
{
printk("this is a test");
return 0;
}
static int __init init(void)
{
orig_mkdir=sys_call_table[__NR_mkdir];
sys_call_table[__NR_mkdir]=hacked_mkdir;
/*将sys_call_table的mkdir指向我们自己构造的hacked_mkdir*/
}
static void __exit fini(void)
{
sys_call_table[__NR_mkdir]=orig_mkdir;
/*做恢复工作*/
}
module_init(init);
module_exit(fini);

对应的makefile文件
代码::

obj-m :=getmkdir.o
KDIR := /lib/modules/$(shell uname -r)/build
PWD := $(shell pwd)
default:
$(MAKE) -C $(KDIR) SUBDIRS=$(PWD) modules
clean:
$(RM) -rf .*.cmd *.mod.c *.o *.ko .tmp*

加载这个两模块后,再用mkdir创建目录,发现已经不能创建目录了

注:以上代码全在2.6.9中测试通过

存在的问题:
在测试的过程中也发现了一些问题.
当我在2.6.11.4中编译没问题,加载getsyscall没问题,当加载getmkdir时就出错了,而且内核出现异常,很多gnome的程序都出现问题,当执mkdir命令时也出来段错误,希望有高手来说明一下.

来源:http://www.linuxfans.org/nuke//modules.php?name=News&file=article&sid=2864&mode=&order=0&thold=0

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10797429/viewspace-101664/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/10797429/viewspace-101664/

cizn2013
关注
linux禁止rm运行,Linux之劫持rm命令实现安全删除和屏蔽删除/、/*
weixin_42499067的博客
05-06 978
摘要我认为Linux上这是一个必须添加的功能,必须屏蔽rm / 、rm /* 、rm -rf / 、rm -rf /*,不怕恶意去执行就怕无意中招让自己gg了还是一键脚本吧wget http://www.dwhd.org/script/securityremove.shbash securityremove.sh具体效果见图部署脚本源码#!/bin/bash####################...
Linux2.6系统调用劫持介绍
01-25 2603
这几天做操作系统课程的作业,其中一个要求是设计内核模块,在查阅资料的过程中发现内核模块可以在不重新编译内核的情况下增加内核的功能,当然也可以对内核进行修改,实现对系统调用劫持。这篇文章就是对linux下劫持系统调用的介绍和资料的整理。 一、介绍         先介绍一下内核模块。内核模块是在操作系统需要的时候动态载入的目标文件对象,链接成内核的一部分,从而可以在不重新编译整个内核
linux内核劫持
囚牢-峰子的博客
09-02 495
/* ============================================================================ Name : hellomod.c Author : Hava Version : 0.0.0.0 Copyright : Copyright by 2011 Description : Hello World in C, Ansi-style ===========================.
内核调试和系统调用劫持
caotuo_csdn的博客
12-14 388
如何在不重新编译内核,不rmmod内核模块的情况下修改系统调用 为了解决这个问题,最终实现了两种解决方式: 1.Linux系统调用劫持 2.Kprobes内核调试技术(并非真正的修改) 下面分别说下: Linux系统调用劫持: 其实就是修改内核符号表,来达到一个劫持的作用。因为系统调用实际上是触发了一个0x80的软中断,然后到了系统调用处理程序的入口system_call()。system_call()会检查系统调用号来得出到底是调用哪种服务,然后会根据内核符号表跳到所需要调用的..
用汇编写的病毒的原理
03-24 7786
如何写一个简单的病毒程序      作者浑浑噩噩        载请注明出处:http://www.czvc.com       引:前些天学病毒这门技术着实吃了很多苦头,走了很多弯路,尽管按我的知识水平,病毒已经是水到渠成的学习内容了。但是我现在学了入门才发现这门技术实际上隐藏着很多玄机,包含着许多技术,不专门学习研究根本无法达到“牛”的境界上去。如今写了这篇文章,介绍的都是相当实用的东西,可
关于系统调用劫持
Beck轨迹
08-19 886
如果一个木马要隐藏起来,不被系统管理员发现。截获系统调用似乎是必须的。大部分情况 下,通过修改系统调用表来实现系统调用劫持。 下面是一个典型的截获系统调用的模块: 模块一: #include #include #include #include
Linux 2.6内核下LKM安全性研究.pdf
09-06
《Linux 2.6内核下LKM安全性研究》这篇文献主要探讨了在Linux 2.6内核中,可加载内核模块(Loadable Kernel Modules, LKM)的安全问题及其解决方案。LKM允许用户在不重新编译内核的情况下动态添加功能,这同时也带来...
Rootkit-LKM编程劫持系统调用,隐藏后门程序backdoor(ps,ls)
bw_yyziq的博客
11-05 4243
前言最近学习到rootkit,由于之前没怎么接触到Linux内核系统调用具体实现这些稍底层的东西,并且参考的许多代码都是基于内核2.6的又不想重装低版本系统,所以踩了很多坑浪费了很多时间,查了许多资料,掉了许多头发,现稍整理希望能给后面采坑的人提供一点思路。 环境: Ubuntu 16.04 linux内核版本 4.10.0-37
Linux 2.6 中导出sys_call_table表修改系统调用函数
清水
08-21 4371
Linux中实现系统调用
内核线程注入x64
11-22
Win764位下通过驱动Attach到目标进程下再调用NtCreateThreadEx函数创建线程执行ShellCode来注入Dll。
浏览器劫持源码
08-06
浏览器劫持源码 浏览器劫持.e
内核修改进程启动参数源码,可用于学习浏览器劫持
08-11
自己小改一下即可支持x64系统,zip源码是支持x86的,实际测试很多浏览器都OK,
Linux2.4.18内核下基于LKM的系统调用劫持
爱.NET
07-30 216
Linux2.4.18内核下基于LKM的系统调用劫持 Linux现在使用是越来越多了,因此Linux的安全问题现在也慢慢为更多人所关注。Rootkit是攻击者用来隐藏踪迹和保留root访问权限的工具集,在这些工具当中,基于LKM的rootkit尤其受到关注。这些rootkit可以实现隐藏文件、隐藏进程、重定向可执行文件,给linux的安全带来很大的威胁,它们所用到的技术主要是系统调用劫持。用LK...
linux劫持系统调用隐藏进程,Linux 2.6 劫持系统调用 隐藏进程
weixin_39962341的博客
04-30 306
一、原理Intel x86系列微机支持256种中断,为了使处理器比较容易地识别每种中断源,把它们从0~256编号,即赋予一个中断类型码n,Intel把它称作中断向量。而Linux中的系统调用使用的是128号,即0x80号中断,所有的系统调用都是通过唯一的入口system_call()来进入内核,当用户动态进程执行一条int 0x80汇编指令时,CPU就切换到内核态,并开始执行system_call...
linux劫持内核函数,Linux系统内核劫持方法分析
weixin_34626779的博客
04-30 275
通过改变系统调用函数执行流,我们给出一种基于Linux内核2.6家族Intel体系架构下的新型攻击方式。基本思想:通过改变系统调用内部处理逻辑中间位置的控制流,并创建一个环境使攻击者尽可能地隐藏他们的活动,瘫痪当前的市面上的各种检测工具。基本上,我们都根据操作系统的架构将攻击模式分为两个部分:其一,用户模式下的攻击。攻击者实现一个简单的二进制命令替换,破坏原有的系统命令,如ls、ps 等。但这些方...
linux劫持进程函数,Linux系统内核劫持方法分析(3)
weixin_32498321的博客
04-30 282
call *sys_call_table(0, %eax, 4) //Calling sys_call_table[eax]movl %eax,PT_EAX(%esp) //Storing of return value系统调用例程核心。eax寄存器存放系统调用号,即sys_call_table数组索引值,指向某个特定系统调用函数函数返回值将存放到栈中的eax寄存器中,返回给用户空间...
Linux2.4.18内核下的系统调用劫持 []
小春的药匣子
08-29 953
 注:本文提到的方法和技巧,如有兴趣请参考后面提到的两篇参考文章,虽然比较老了,但是对于本文内容的实现有很大的参考价值。因为篇幅关系,没有列出完整代码,但是核心代码已经全部给出。Linux 现在使用是越来越多了,因此Linux的安全问题现在也慢慢为更多人所关注。Rootkit是攻击者用来隐藏踪迹和保留root访问权限的工具集,在这些 工具当中,基于LKM的rootkit尤其受到关注。这些rootk
2.6内核劫持系统调用
ldong2007的专栏
09-03 1978
     2005-07几乎所有的空用户间操作在系统内核都是通过系统系统调用来实现的,前面也写了一篇有关系统调用的文章,这再简单的介绍一下大至过程,当用户执行某一操作时,比如果打开文件的操作,打开文件的程序会调用到glib库中的open函数,而open函数最终在内核的实现就是open系统调用,当用户执行到open函数时,会由用户空间切换到内核内间,通过int80进行切换,进入内
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值