linux劫持系统调用connect

最新推荐文章于 2023-05-19 14:58:41 发布
最新推荐文章于 2023-05-19 14:58:41 发布
阅读量2.6k 收藏 7
点赞数
分类专栏: linux 文章标签: linux 劫持系统调用 connect __NR_connect
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liangzhao_jay/article/details/51669364
版权
本文介绍了如何在64位CentOS系统中,通过劫持系统调用`__NR_connect`来实现网络监控的需求。详细阐述了相关代码实现过程。
摘要由CSDN通过智能技术生成

为实现网络监控,故需要监控系统调用函数__NR_connect 

系统环境  64 位 CentOS


代码如下:

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/moduleparam.h>
#include <linux/list.h>
#include <linux/init.h>
#include <linux/sched.h>
#include <asm/unistd.h>
#include <linux/dirent.h>
#include <linux/stat.h>
#include <linux/fs.h>
#include <linux/proc_fs.h>
#include <asm/uaccess.h>

#include <net/sock.h>
#include <net/netlink.h>

#define CALLOFF 100
#define SP_INTERCEPT_SOCKET_NETLINK 28
//define idtr and idt struct

char psname[10] = "hello";
char *processname = psname;

static char *mod_name = "hook";
module_param(mod_name, charp, 0);

struct{
    unsigned short limit;
    unsigned int base;
}__attribute__((packed))idtr;

struct{
    unsigned short off_low;
    unsigned short sel;
    unsigned char none;
    unsigned char flags;
    unsigned short off_high;
}__attribute__((packed))*idt;

struct _idt
{
    unsigned short offset_low,segment_sel;
    unsigned char reserved,flags;
    unsigned short offset_high;
};

/*unsigned long *getscTable()
{
    unsigned char idtr[6] = {0}, *shell = NULL, *sort = NULL;
    struct _idt *idtLong = NULL;
    unsigned long system_call = 0, sct = 0;
    unsigned short offset_low = 0, offset_high = 0;
    char *p = NULL;
    int i = 0;

    __asm__("sidt %0" : "=m" (idtr));

    idtLong=(struct _idt*)(*(unsigned long*)&idtr[2]+8*0x80);
    offset_low = idtLong->offset_low;
    offset_high = idtLong->offset_high;
    system_call = (offset_high<<16)|offset_low;

    shell=(char *)system_call;
    sort="\xff\x14\x85";

    for(i=0;i<(100-2);i++)
    {
        if(shell[i] == sort[0] && shell[i+1] == sort[1] && shell[i+2] == sort[2])
	{
	    break;
	}
    }

    p = &shell[i];
    p += 3;

    sct=*(unsigned long*)p;
    return (unsigned long*)(sct);
}*/

//define function, Point to the system being hijacked

struct linux_dirent
{
    unsigned long     d_ino;
    unsigned long     d_off;
    unsigned short    d_reclen;
    char    d_name[1];
};

//asmlinkage long (*orig_getdents)(unsigned int fd, struct linux_dirent __user *dirp, unsigned int count);

/*
struct sockaddr
{
    unsigned short sa_family;
    char sa_data[14];
};

struct in_addr 
{
    unsigned long s_addr;
};
*/
//struct sockaddr_in
//{
  //  short int sin_family; /* Internet地址族*/
  //  unsigned short int sin_port; /* 端口号*/
  //  struct in_addr sin_addr; /* Internet地址*/
  //  unsigned char sin_zero[8]; /* 填充0(为了保持和struct sockaddr一样大小)*/
//};

asmlinkage long (*orig_getdents)(int fd, struct sockaddr __user *dirp, int addrlen);

//int orig_cr0 = 0;
unsigned long *sys_call_table = NULL;

//add by liangz 2016-06-13
void spinfo_destroy_netlink();
static struct mutex ply_cs_mutex;
static struct sock *nl_sk = NULL;
//policy list
typedef struct _NetworkCtrl_
{
    // 是否启用
    bool bEnable;
    //ip:port
    char website[2048];

}NetworkCtrl, *PNetworkCtrl;

PNetworkCtrl sp_ply_info = NULL;

//get function system_call addr
/*void* get_system_call(void)
{
    printk(KERN_ALERT "start get_system_call...\n");
    void * addr = NULL;
    asm("sidt %0":"=m"(idtr));
    idt = (void*) ((unsigned long*)idtr.base);
    addr = (void*) (((unsigned int)idt[0x80].off_low) | (((unsigned int)idt[0x80].off_high)<<16 ));
    return addr;
}*/

//find sys_call_table

char* findoffset(char *start)
{
    printk(KERN_ALERT "start findoffset...\n");
    char *p = NULL;
    int i = 0;
    /*for(p=start; p < start + CALLOFF; p++)
    {
        if(*(p+0) == '\xff' && *(p+1) =
最低0.47元/天 解锁文章
Mr_John_Liang
关注
专栏目录
LINUX内核中添加系统调用
04-16
Linux内核中添加系统调用是一项涉及到操作系统底层机制的工作,通常用于扩展内核功能或满足特定需求。这里我们将详细探讨如何在Linux内核中静态添加一个系统调用,包括所需的步骤和注意事项。 首先,静态添加系统...
Linux劫持connect到指定IP地址
pmunix的专栏
11-30 2784
    3.1.1  Linux系统调用原理        每个系统调用都是通过一个单一的入口点多路传入内核。eax 寄存器用来标识应当调用的某个系统调用,这在 C 库中做了指定(来自用户空间应用程序的每个调用)。当加载了系统的 C 库调用索引和参数时,就会调用一个软件中断(0x80 中断),它将执行 system_call 函数(通过中断处理程序),这个函
Linux利用hook技术实现文件监控和网络过滤
jinking01的专栏
09-06 1279
linux下利用hook技术实现文件过滤和网络连接过滤(黑名单、白名单)
linux 系统调用 hook 总结
whatday的专栏
09-02 5298
1. 系统调用Hook简介 系统调用属于一种软中断机制(内中断陷阱),它有操作系统提供的功能入口(sys_call)以及CPU提供的硬件支持(int 3 trap)共同完成。 我们必须要明白,Hook技术是一个相对较宽的话题,因为操作系统从ring3到ring0是分层次的结构,在每一个层次上都可以进行相应的Hook,它们使用的技术方法以及取得的效果也是不尽相同的。本文的主题是"系统调用的Hoo...
Linux socket connect
shineyi33的专栏
01-06 574
客户端调用int connect(int sockfd, const struct sockaddr *addr, socklen_t len)发起对服务器的socket的连接请求:     如果客户端socket描述符为阻塞模式则会一直阻塞到连接建立或者连接失败(注意阻塞模式的超时时间可能为75秒到几分钟之间);     而如果为非阻塞模式,则调用connect之后如果连接不能马上建立则返回
Linux Hook方法
vspiders的博客
09-13 1232
linux hook是一个非常常见且成熟的技术,用户态Hook的方法有很多中,本次主要记录下LD_PRELOAD动态链接库劫持方法。 LD_PRELOAD是一个全局变量,linux程序在运行时会优先加载该路径变量下的动态链接库,因此我们只需要通过设置LD_PRELOAD加载我们编写的同名函数,后续的加载过程中就会忽略后面的同名函数,从而完成对系统库的劫持。 一般情况下linux动态加载库的顺序为LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/l
Linux系统调用劫持:技术原理、应用及检测.pdf
09-07
Linux系统调用劫持是一种黑客技术,用于在操作系统内核层面植入后门,以保持对系统的非法访问。这种技术常被用于制作rootkit,rootkit是攻击者用来隐藏其活动和保留管理员权限的工具集合。在Linux环境中,尤其是基于...
劫持Linux系统调用封杀Core Dump漏洞攻击.pdf
09-06
本文将对 Core Dump 漏洞进行深入分析,并提出了一个基于劫持 Linux 系统调用的防御策略。通过劫持 prctl 系统调用,对发起系统调用的进程进行行为监视,进而检测攻击,可以有效地阻止和防御攻击的发生。同时,我们...
Linux系统调用劫持的检测方法.pdf
09-06
Linux系统调用劫持的检测方法.pdf
基于Linux系统调用的内核级Rootkit技术研究.pdf
09-06
《基于Linux系统调用的内核级Rootkit技术研究》这篇论文深入探讨了Linux内核级Rootkit技术,特别是利用系统调用进行攻击和隐藏的方法。系统调用是操作系统与用户程序交互的关键接口,Rootkit通过劫持这些调用来实现...
一个基于 LKM 的 Linux 内核级 rootkit 的实现
郭同学如是说
02-27 1270
rootkit是一种恶意软件,攻击者可以在获得 root 或管理员权限后安装它,从而隐藏入侵并保持root权限访问。rootkit可以是用户级的,也可以是内核级的。关于rootkit的详细介绍可以参考https://en.wikipedia.org/wiki/rootkit 有许多技术可以实现rootkit,本项目使用的是通过编写LKM(Linux kernel module)并hook系统调用表的方式。这种方式具有诸多优点,比如rootkit作为内核模块可以动态的加载和卸载,大多数rootkit也都是通
(十六)洞悉linux下的Netfilter&iptables:开发自己的hook函数【实战】(下)
chenxzhuang的专栏
10-24 626
原文出处:http://blog.chinaunix.net/uid-23069658-id-3245853.html
Linux内核协议栈-一个socket的调用过程,从用户态接口到底层硬件
RToax
04-06 1100
用户创建socket
(十五)洞悉linux下的Netfilter&iptables:开发自己的hook函数【实战】(上)
chenxzhuang的专栏
10-24 612
原文出处:http://blog.chinaunix.net/uid-23069658-id-3243434.html
linux系统调用挂钩方法总结
热门推荐
sdulibh的专栏
12-22 1万+
相关学习资料 http://xiaonieblog.com/?post=121 http://hbprotoss.github.io/posts/li-yong-ld_preloadjin-xing-hook.html http://www.catonmat.net/blog/simple-ld-preload-tutorial/ http://os.51cto.com/art/2010
Linux4.19-通过IDT获取sys_call_table实现系统调用劫持
CalvinXu
05-09 1978
上一篇博客写了如何获取IDT地址,这里将接着上一篇博客继续写,如果还不清楚如何获取IDT可以看一下我的上一篇博客:Linux4.19-获取IDT地址:https://blog.csdn.net/qq_41208289/article/details/106012230 这里再次声明一下,博主的系统为目前最新版本的Debian10,Linux4.19内核(32位x86机器) 前言 网上的绝大部分博客对于获取sys_call_table的方法在目前的内核中都已经失效,Linux大概从4.8开始加入了保
Linux函数调用劫持的方法总结(带图)
weixin_38371073的博客
05-20 3703
参考文章: https://www.cnblogs.com/LittleHann/p/3854977.html https://lwn.net/Articles/132196/ https://blog.csdn.net/andy205214/article/details/77148573 https://www.cnblogs.com/arnoldlu/p/9752061.html 1.概览 Ring3中劫持 基于环境变量LD_PRELOAD的动态库劫持 Ring0中劫持 Kerne.
linux内核篇-进程间通信(信号,管道,共享内存,socket)
最新发布
weixin_53344209的博客
05-19 1089
linux操作系统中,为了响应各种各样的事件,也定义了很多信号。我们可以通过命令,查看所有的信号60多种。其中常见的信号有1: HUP,终端退出进程终止,可以被捕获2: INT,就是crtl+c ,终止前台进程;8 : FPE,算术运算出错,溢出,除0等;9:9 KILL,强行终止进程,不能被阻塞,捕获,忽略的。15: TERM,进程正常终止,通常捕获它,处理善后比如释放资源再退出;kill默认就是1519 SIGSTOP 该信号可以暂停前台进程,相当于输入 Ctrl+Z 快捷键。
强化Linux内核访问控制:动态库劫持系统调用拦截
"增强Linux内核中访问控制安全的方法,包括用户态动态库拦截、内核态系统调用拦截、堆栈式文件系统拦截、inlinehook拦截以及Linux Security Modules (LSM)。" 在Linux系统中,为了提升访问控制的安全性,开发者和...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值