根据call/jmp操作数偏移检测内核是否被rootkit控制

最新推荐文章于 2024-01-15 10:12:50 发布
最新推荐文章于 2024-01-15 10:12:50 发布
阅读量4.1k 收藏 5
点赞数 1
文章标签: rootkit 检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dog250/article/details/105474909
版权

今天上午,我写了一个检测我自己的rootkit的代码,但是那个代码只能检测hook住函数开头ftrace stub的情况:
https://blog.csdn.net/dog250/article/details/105465553

手艺人不能就此罢休。我下午准备写一个x86_64指令解析器的,这样就是把内核的整个TEXT段作为一个状态机的输入,然后整个TEXT段在这个解析器里过一遍,就能把所有的call/jmp指令的操作数给过滤出来,然后判断这些操作数的偏移是不是越过了TEXT段的范围,比方说,如果callee的地址是一个内核模块地址范围的地址,那基本就可以说明内核函数call了一个 在别处的函数 ,在我看来,除了export出来的回调函数,这种情况并不多,详细检测这个callee地址,应该能看出其所以然来:

  • 是正常的export回调函数调用吗?
  • 是正常的kpatch打入的hotfix吗?
  • 是恶意注入的代码吗?

无奈下午一觉醒来就快六点了,风雨大作,电闪雷鸣,时间不够了,我也就只能写下面的简单POC了:

  • 该POC可以过滤两类hook:ftrace stub hook和ip_local_deliver里的中间hook。

代码如下:

#include <linux/module.h>
#include <linux/kallsyms.h>

#define TEXT_SIZE	0xff0000
static int __init checker_init(void)
{
	s32 offset;
	int i = 0;
	unsigned char *pos;
	unsigned int *code;
	unsigned long *lcode, target;
	char *__text;// = 0xffffffff81000000;

	__text = (void *)kallsyms_lookup_name("_text");

	for (i = 0; i < TEXT_SIZE;) {
		pos = &__text[i];
		code = (unsigned int *)&pos[5];
		lcode = (unsigned long *)pos;
		// 下面的if语句过滤ftrace函数开头的call hook
		if (*code == 0xe5894855 && *lcode != 0x8948550000441f0f && pos[0] == 0xe8) {
			offset = *(s32 *)&pos[1];
			target = (unsigned long)__text + i + offset;
			if (target > (unsigned long)__text + TEXT_SIZE) {
				printk("caller address: %llx  callee address[请详查]: %llx\n",
					(unsigned long)__text + i, target);
			}
			i += 9;
			continue;
		}

		// 下面的语句过滤函数中间的call hook。
		// 没办法,我只能这样过滤了,实际上正规的方法是扫描整个指令,在状态机中找call指令:
		// call的偏移如果越过内核TEXT段,基本就要详细check一下了!
		code = (unsigned int *)&pos[5];
		if (*code == 0x7501f883 && pos[0] == 0xe8 /*&& pos[5] == 0x90*/ &&
			((*(pos - 1) != 0xc1) &&
			 (*(pos - 1) != 0x83 && *(pos - 2) != 0x48) &&
			 (*(pos - 1) != 0x25 && *(pos - 2) != 0x04) &&
			 (*(pos - 1) != 0xe8) &&
			 (*(pos - 1) != 0x55) &&
			 (*(pos - 1) != 0x1d) &&
			 (*(pos - 1) != 0xe9) &&
			 (*(pos - 2) != 0x4c) &&
			 (*(pos - 2) != 0x0f) &&
			 (*(pos - 2) != 0x81) && // for set_mode
			 (*(pos - 3) != 0xe8) && // for xhci_dbg_cmd_ptrs
			 (*(pos - 3) != 0x4c) &&
			 //(*(pos - 5) != 0x48) && // for set_max_huge_pages
			 (*(pos -2) != 0x44 && *(pos - 1) != 0x89))) {
			offset = *(s32 *)&pos[1];
			target = (unsigned long)__text + i + offset + 5;
			if (target > (unsigned long)__text + TEXT_SIZE) {
				printk("[middle hook] caller address: %llx  callee address[请详查]: %llx\n",
					(unsigned long)__text + i, target);
			}
			i += 9;
			continue;
		}
		i ++;
	}

	return -1;
}

module_init(checker_init);
MODULE_LICENSE("GPL");

来吧,演示一下吧。

如果空加载这个模块,不会有任何输出,但是我注入了两个恶意的rootkit:

  1. 隐藏进程和CPU利用率。
  2. 统计iptables DROP的数量(不算恶意…)。

关于以上第二个,参见:
https://blog.csdn.net/dog250/article/details/105206753

为了便于验证和归档,我再次给出代码:

#include <linux/module.h>
#include <linux/slab.h>
#include <linux/kallsyms.h>
#include <linux/cpu.h>

char *stub;
char *addr = NULL;

// 传入ip_local_deliver的地址
static unsigned long laddr = 0xffffffffa0267000;
module_param(laddr, ulong, 0644);

// 计数INPUT链上的被DROP的数据包的数量
static unsigned int counter = 0;
module_param(counter, int, 0444);

void test_stub1(void) __attribute__ ((aligned (1024)));
void test_stub2(void) __attribute__ ((aligned (1024)));
void test_stub1(void)
{
	printk("yes\n");
}
void test_stub2(void)
{
	printk("yes yes\n");
}

#define FTRACE_SIZE   	5
#define POKE_OFFSET		173
#define POKE_LENGTH		5
#define COND_LENGTH		5
#define COUNTE_LENGTH	8

static void *(*_text_poke_smp)(void *addr, const void *opcode, size_t len);
static struct mutex *_text_mutex;

static unsigned int pos, target;
static int __init hotfix_init(void)
{
	unsigned char e8_call[POKE_LENGTH];
	unsigned char incl[COUNTE_LENGTH];
	unsigned char cond[COND_LENGTH];
	s32 offset, i;
	u32 low32 = (unsigned int)(((unsigned long)&counter) & 0xffffffff);

	laddr = (void *)kallsyms_lookup_name("ip_local_deliver");
	_text_poke_smp = (void *)kallsyms_lookup_name("text_poke_smp");
	_text_mutex = (void *)kallsyms_lookup_name("text_mutex");
	if (!laddr || !_text_poke_smp || !_text_mutex) {
		printk("not found\n");
		return -1;
	}
	addr = (void *)laddr;


	stub = (void *)test_stub1;

	// 两个函数的call地址偏移
	offset = (s32)((long)stub - (long)addr - FTRACE_SIZE);
	// 两个函数指令相对偏移
	pos = (unsigned int)((long)stub - (long)addr);

	_text_poke_smp(&stub[0], &addr[POKE_OFFSET], POKE_LENGTH);

	// 调节校准call nf_hook_slow的相对地址偏移
	target = *((unsigned int *)&addr[POKE_OFFSET + 1]);
	target -= pos;
	target += POKE_OFFSET;
	_text_poke_smp(&stub[1], &target, sizeof(target));

	// 填充条件判断:只有返回DROP才会被计数
	cond[0] = 0x83; // cmp $0x1, %eax
	cond[1] = 0xf8;
	cond[2] = 0x01;
	cond[3] = 0x74; // jz $ret
	cond[4] = 0x07; // skip "incl $counter"
	_text_poke_smp(&stub[POKE_LENGTH], &cond, COND_LENGTH);

	// 插入的指令中需要save/restore寄存器,但这里简单,略过
	incl[0] = 0xff; // incl $counter
	incl[1] = 0x04;
	incl[2] = 0x25;
	(*(u32 *)(&incl[3])) = low32;
	incl[7] = 0xc3; // retq
	_text_poke_smp(&stub[POKE_LENGTH + COND_LENGTH], &incl, 8);

	// call比jmp方便,可以自动帮忙return,不然还要自己jmp回来,但是代价是push/pop
	e8_call[0] = 0xe8;
	(*(s32 *)(&e8_call[1])) = offset - POKE_OFFSET;
	for (i = 5; i < POKE_LENGTH; i++) {
		e8_call[i] = 0x90; // nop 占位符
	}
	get_online_cpus();
	mutex_lock(_text_mutex);
	_text_poke_smp(&addr[POKE_OFFSET], e8_call, POKE_LENGTH);
	mutex_unlock(_text_mutex);
	put_online_cpus();

	return 0;
}

static void __exit hotfix_exit(void)
{
	target -= POKE_OFFSET;
	target += pos;
	_text_poke_smp(&stub[1], &target, sizeof(target));
	get_online_cpus();
	mutex_lock(_text_mutex);
	_text_poke_smp(&addr[POKE_OFFSET], &stub[0], POKE_LENGTH);
	mutex_unlock(_text_mutex);
	put_online_cpus();
}

module_init(hotfix_init);
module_exit(hotfix_exit);
MODULE_LICENSE("GPL");

注入这两个之后,再次加载checker:

[root@localhost test]# insmod ./check.ko
insmod: ERROR: could not insert module ./check.ko: Operation not permitted
[root@localhost test]# dmesg
[34980.244454] caller address: ffffffff810b4f10  callee address[请详查]: ffffffffa011a000
[34980.244456] caller address: ffffffff810b4fb0  callee address[请详查]: ffffffffa011a000
[34980.251519] [middle hook] caller address: ffffffff81561ebd  callee address[请详查]: ffffffffa0252000
[34980.251666] caller address: ffffffff8158

我们用crash命令查一下:

...
crash> dis ffffffffa0123000 10
dis: WARNING: ffffffffa0123000: no associated kernel symbol found
   0xffffffffa0123000:  nopl   0x0(%rax,%rax,1)
   0xffffffffa0123005:  push   %rbp
   0xffffffffa0123006:  cmp    $0x1,%rsi
   0xffffffffa012300a:  mov    %rsp,%rbp
   0xffffffffa012300d:  je     0xffffffffa0123017
   0xffffffffa012300f:  cmpw   $0x4d2,0xe(%rsi)
   0xffffffffa0123015:  je     0xffffffffa0123020
   0xffffffffa0123017:  pop    %rbp
   0xffffffffa0123018:  retq
   0xffffffffa0123019:  nopl   0x0(%rax)
crash> dis ffffffffa0252000 10
0xffffffffa0252000 <test_stub1>:        callq  0xffffffff815586a0 <nf_hook_slow>
0xffffffffa0252005 <test_stub1+5>:      cmp    $0x1,%eax
0xffffffffa0252008 <test_stub1+8>:      je     0xffffffffa0252011 <test_stub1+17>
0xffffffffa025200a <test_stub1+10>:     incl   0xffffffffa0254280
0xffffffffa0252011 <test_stub1+17>:     retq
0xffffffffa0252012 <test_stub1+18>:     callq  0xffffffff8162e40d <printk>
0xffffffffa0252017 <test_stub1+23>:     pop    %rbp
0xffffffffa0252018 <test_stub1+24>:     retq
0xffffffffa0252019 <test_stub1+25>:     nop
0xffffffffa025201a <test_stub1+26>:     nop
crash>

一把就揪出来了!

当然了,如果有时间,我会写一个完整的x86_64指令解析状态机,这样就可以搜集所有的jmp/call目标了,逐一检查这些目标,看看哪些是可疑的,最终揪出真凶。

除了jmp/call的目标,内核数据结构的回调函数也是检测目标之一,比如系统调用表的内容,肯定要在TEXT段中,比如很多inet回调函数,也必须处在TEXT中。

我之所以没有通过读取/proc/kallsyms,那是怕它被hook掉啊!而且通过kallsyms_lookup_name得到的_text是不是也是可信的,也是有问题的,kallsyms_lookup_name本身被hook掉怎么办?

然而,这些问题并不大,我们心里要有个数,基本上,内核代码的位置就是在0xffffffff81xxxxxx这些地址上的,并且内核函数的布局是很连续紧凑的,这些特点我们心里都有数,如果非要揪着这些细节说这个方法不严谨,那就杠精嫌疑了,没意思。

其实,本来也没什么意思。

浙江温州皮鞋湿,下雨进水不会胖。

dog250
关注
linux crash内核故障分析工具
comprel的博客
04-26 3779
kdump一般与crash工具联合使用,以便在故障发生的时候,进行问题追踪 配置kdump: yum install kexec-tools 修改grub: GRUB_CMDLINE_LINUX 中添加crashkernel=auto #vim /etc/default/grub GRUB_CMDLINE_LINUX="crashkernel=auto console=ttyS0 conso...
java crash dump_实例使用crash分析Kdump转储kernel崩溃内核
weixin_32204241的博客
02-23 895
前言:有时候碰到系统运行过程中突然出现宕机、死机,但是又不得不找原因的时候还是非常苦恼的,虽然可以通过暂时的防护机制看门狗解决眼下的问题,但是要找到宕机死机的原因,还是得靠专门针对内核进行分析的工具Kdump来实现。虽然不懂Linux内核,但是通过简单的分析还是可以得到是哪个堆栈出现异常导致宕机。KdumpKdump 是一种基于 kexec 的 Linux 内核崩溃捕获机制,将 kernel 崩溃...
Linux内核Call Trace调试分析方法
最新发布
da_xiang的博客
01-15 2661
讲述了Call Trace 的调试方法
linux vmcore 分析,crash分析vmcore
weixin_39685578的博客
05-13 314
然后进入 /var/crash/ 找到相应的vmcore执行crash 127.0.0.1-2014-01-21-23\:36\:14/vmcore /usr/lib/debug/lib/modules/2.6.32-902.279.9.1.***.el6.x86_64/vmlinux输出如下:KERNEL: /usr/lib/debug/lib/modules/2.6.32-902.279...
CALL是如何炼成的 之一:理论篇
u010488395的专栏
05-04 1223
遇到一个CALL应该如何写?    这个是写一个内挂不可避免的问题.刚初学的朋友可能会不知道如何入手.想起刚学这方面的时候,绕过很多 弯路,现在把一些经验写出来给大家参考参考吧,不是很高深的东西,但我觉得对某些人很有帮助.    CALL是什么?    CALL是汇编中的一个指令,CPU执行这条指令会执行2个动作 一:压入EIP入栈 二:跳转到后面的地 址.  跟RET
1.2 window内核——代码跨段(Jmp和call指令对堆栈的操作)
kmic1的博客
10-08 792
JMP指令 jmp 0x20:0x004183D7 调用时的步骤 拆分,将0x20拆分成b0010 000,RPL=0;TI=0;index=4 查找GDT,找到第五个段描述符;四种情况可以跳转:代码段、调用门、TSS任务段、任务门 权限检查,如果是非一致代码段,要求:CPL == DPL 并且 RPL <= DPL;如果是一致代码段,要求:CPL >= DPL(CPL由CS二进制位后两位决定) 加载段描述符通过上面的权限检查后,CPU会将段描述符加载到CS段寄存器中. 代码执行CPU将 CS
从统计过程控制SPC来看JMP和Minitab的差异
01-20
统计过程控制SPC是指应用统计技术对过程中的各个阶段进行评估和监控,建立并保持过程处于可接受的且稳定的水平,从而保证产品与服务符合规定的要求的一种质量管理技术。做过质量管理或者持续改善工作的人都知道,...
linux x64 asm 参数传递,x86和x64汇编反汇编asm中call jmp机器码和取函数偏移地址计算...
weixin_31597865的博客
05-15 936
X86下 直接的jmp分3种Short Jump(短跳转)机器码 EB rel8只能跳转到256字节的范围内Near Jump(近跳转)机器码 E9 rel16/32可跳至同一个段的范围内的地址Far Jump(远跳转)机器码EA ptr 16:16/32可跳至任意地址,使用48位/32位全指针PEB :进程环境块TEB.ProcessEnvironmentBlock成员就是PEB的结构体地址...
实验楼-操作系统的引导-代码.zip_ZFU_操作系统实验二 内核代码修改
09-24
操作系统引导过程是计算机启动后执行的第一段程序,它负责加载内核并初始化必要的硬件环境,使得操作系统能够接管控制权并开始运行。在这个“实验楼-操作系统的引导-代码.zip”中,我们关注的是如何修改内核代码,...
JMP Call hook
11-19
3. **反Hook检测**:检测是否被Hook,并在检测到Hook时采取相应对策。 4. **多层跳转**:通过多层JMP或CALL指令,增加Hook的难度。 尽管JMP大法能够有效地对抗某些Call Hook,但它并非万能的解决方案。对于高级的...
linux内核hook技术之跳转指令偏移
快乐时光
03-02 854
前言 在另一篇博文中提到了指令覆盖和指令注入的hook方式,使用覆盖和注入方式完成内核函数hook,需要有很多的注意事项,而且容易被检测工具检测。这篇博文则聊一下如何通过替换跳转指令偏移值来完成内核函数的hook,这种hook技术也可以称为inline hook。 事先做个准备工作,手头正好有centos 6系列操作系统,还有一个热腾腾刚出锅的vmlinux。通过 gdb vmlinux,所示如下: 如图片所示,sys_open通过call指令调用了do_sys_open...
CALL指令有多少种写法
hksoobe的专栏
08-03 2990
本文转自 http://blog.ftofficer.com/2010/04/n-forms-of-call-instructions/
call、ret、retf 指令详解
热门推荐
车子(chezi)
03-26 2万+
call、ret、retf指令详解本文讲解针对NASM编译器,8086处理器的call、ret、retf 指令。对于其他编译器和保护模式下的80x86,指令用法类似,可以作为参考。
kernel crash "kernel tried to execute NX-protected page"
Vic的博客
08-19 2519
环境 Red Hat Enterprise Linux 6, 7 RHEL 7 kernel-3.10.0-514.2.2.el7 RHEL 6 kernel-2.6.32-220.13.1.el6 kernel-2.6.32-431.23.3.el6 kernel-2.6.32-504.8.1.el6 问题 Server got crashed and reb...
CALL入门篇一:CALL的本质
fengfengfengmy的专栏
05-10 8617
CALL入门篇一:CALL的本质*所谓的call,其实本质上来说就是一条汇编指令. *只要找到了关键代码的地址,传入适当参数,就可以借用游戏中已有功能来完成内挂的功能。 当程序被编译以后,便不会存在任何函数,存在的只是0和1.所以我们调用也只是这段机器码而已. 网上找CALL的教程很多,但是却是从一个游戏的某一个功能入手,比如说完美的打坐
核符号表(Kernel Symbol Table)是什么东西?
小伟
10-27 4346
内核并不使用符号名。它是通过变量或函数的地址(指针)来使用变量或函数的,而 不是使用size_t BytesRead,内核更喜欢使用(例如)c0343f20来引用 这个变量。 而另一方面,人们并不喜欢象c0343f20这样的名字。我们跟喜欢使用象 size_t BytesRead这样的表示。通常,这并不会带来什么问题内核主要 是用C语言写成的,所以在我们编程时编译器/连接程序允许我们使用符号
关于inline hook中函数地址计算的理解
残酷な天使
10-04 1987
// MyFuncAddr = destFunc的实际地址 MyFuncAddr = *(ULONG *)((BYTE *)destFunc+1) + (ULONG)destFunc + 5; 有如上一段计算函数实际地址的代码。查了N多资料以后。。。。。。终于明白了 在deb
汇编call指令详解_go语言调度器源代码情景分析之五:汇编指令
weixin_39944375的博客
12-09 1262
汇编语言是每位后端程序员都应该掌握的一门语言,因为学会了汇编语言,不管是对我们调试程序还是研究与理解计算机底层的一些运行原理都具有非常重要的作用,所以建议有兴趣的读者可以多花点时间把它学好。与高级编程语言一样,汇编语言也是一门完整的计算机编程语言,它所涉及的知识内容也很多,好在我们的主要目标是通过对本小节的学习而有能力去读懂汇编代码,而不是要用汇编语言去写代码,所以本节并不会全面介绍汇编...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值