04 模块基础 隐藏模块

最新推荐文章于 2024-02-03 00:44:57 发布
最新推荐文章于 2024-02-03 00:44:57 发布
阅读量833 收藏 30
点赞数 19
文章标签: linux rootkit lkm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55125921/article/details/136003061
版权

文章目录


当我们将一个 LKM 装载到内核模块中之后,用户尤其是服务器管理员可以使用 lsmod 命令 发现你在服务器上留下的rootkit 

arttnba3@ubuntu:~/Desktop/DailyProgramming/rootkit$ sudo insmod rootkit.ko 
Password: 
arttnba3@ubuntu:~/Desktop/DailyProgramming/rootkit$ lsmod | grep 'rootkit'
rootkit                16384  0

虽然说我们可以把 rootkit 的名字改为「very_important_module_not_root_kit_please_donot_remove_it」一类的名字进行伪装从而通过社会工程学手段让用户难以发现异常,但是哪怕看起来再“正常”的名字也不能够保证不会被发现,因此我们需要让用户无法直接发现我们的 rootkit

PRE.内核中的内核模块:module 结构体

这里仅简要叙述,在内核当中使用结构体 module 来表示一个内核模块(定义于 /include/linux/module.h),多个内核模块通过成员 list (内核双向链表结构list_head,定义于/include/linux/types.h 中,仅有 next 与 prev 指针成员)构成双向链表结构

在内核模块编程中,我们可以通过宏 THIS_MODULE (定义于 include/linux/export.h)或者直接用其宏展开 &__list_module 来获取当前内核模块的 module 结构体,

Step-I. /proc/modules 信息隐藏

Linux 下用以查看模块的命令 lsmod 其实是从 /proc/modules 这个文件中读取并进行整理,该文件的内容来自于内核中的 module 双向链表,那么我们只需要将 rootkit 从双向链表中移除即可完成 procfs 中的隐藏

熟悉内核编程的同学应该都知道 list_del_init() 函数用以进行内核双向链表脱链操作,该函数定义于 /include/linux/list.h 中,多重套娃展开后其核心主要是常规的双向链表脱链,那么在这里我们其实可以直接手写双向链表的脱链工作

我们还需要考虑到多线程操作的影响,阅读 rmmod 背后的系统调用 delete_module 源码(位于 kernel/module.c 中),观察到其进入临界区前使用了一个互斥锁变量名为 module_mutex,我们的 unlink 操作也将使用该互斥锁以保证线程安全(毕竟我们进来不是直接搞破坏的hhh)

在模块初始化函数末尾添加如下:

static int __init rootkit_init(void)
{
...

    // unlink from module list
    struct list_head * list = (&__this_module.list);
    mutex_lock(&module_mutex);
    list->prev->next = list->next;
    list->next->prev = list->prev;
    mutex_unlock(&module_mutex);

    return 0;
}

将我们的 rootkit 重新 make 后加载到内核中,我们会发现 lsmod 命令已经无法发现我们的 rootkit,在 /proc/modules 文件中已经没有我们 rootkit 的信息,与此同时我们的 rootkit 所提供的功能一切正常

但同样地,无论是载入还是卸载内核模块都需要对双向链表进行操作,由于我们的 rootkit 已经脱链故我们无法将其卸载,同样地也无法将其再次载入(虽然说似乎并没有必要做这两件事情,因为 rootkit 一次载入后应当是要长久驻留在内核中的)

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

Step-II. /sys/module/ 信息隐藏

sysfs 与 procfs 相类似,同样是一个基于 RAM 的虚拟文件系统,它的作用是将内核信息以文件的方式提供给用户程序使用,其中便包括我们的 rootkit 模块信息,sysfs 会动态读取内核中的 kobject 层次结构并在 /sys/module/ 目录下生成文件

这里简单讲一下 kobject:Kobject 是 Linux 中的设备数据结构基类,在内核中为 struct kobject 结构体,通常内嵌在其他数据结构中;每个设备都有一个 kobject 结构体,多个 kobject 间通过内核双向链表进行链接;kobject 之间构成层次结构

kobject 更多信息参见https://zhuanlan.zhihu.com/p/104834616

熟悉内核编程的同学应该都知道我们可以使用 kobject_del() 函数(定义于 /lib/kobject.c中)来将一个 kobject 从层次结构中脱离,这里我们将在我们的 rootkit 的 init 函数末尾使用这个函数:

static int __init rootkit_init(void)
{
...

    // unlink from kobject
    kobject_del(&__this_module.mkobj.kobj);

    return 0;
}

简单测试,我们可以发现无论是在 procfs 中还是 sysfs 中都已经没有了我们的 rootkit 的身影,而提权的功能依旧正常,我们很好地完成了隐藏模块的功能

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

的身影,而提权的功能依旧正常,我们很好地完成了隐藏模块的功能

[外链图片转存中…(img-Du95UIrG-1706891735633)]

丁金金
关注
隐藏内核模块的方法
06-30 1922
rootkit.com上一个russian hacker发的文章中提到这两种方法,和他交流了下,在llroot中实现了,代码贴出来灌水:/********************************************************************************** The following routines implement hide dri
隐藏自己的Linux内核模块
Netfilter
05-09 5722
前面我提倡使用oneshot模式加载模块,即让模块在init函数中把事情做完后就return -1,这样系统中便不存在这么一个模块,也就不需要隐藏了。 但是,由于THIS_MODULE宏的存在,我们发现实际上隐藏一个模块是多么地简单。事实上,模块可以在init函数中通过THIS_MODULE宏实现自隐藏的。 既然如此简单,还费事搞oneshot干嘛,精神洁癖总是不想看到return -1。 和进程隐藏完全不同,进程无法自己隐藏自己,只能依靠其它模块找到相应的task_struct,然后再摘链。 THIS_M
Casper-fs:一款功能强大的自定义隐藏Linux内核模块生成器
阿道夫的博客
01-29 334
针对lsmod的casper-fs模块可见操作密码为“Shazam”;将casper-fs改为不可见的操作密码为“AbraKadabra”;将敏感文件隐藏的操作密码为“Alakazam”,改为显示的操作密码也是“Alakazam”;文件的保护和解保护操作密码为“Sesame”;
linux2.4内核模块隐藏,Linux环境下的高级隐藏技术
weixin_33040687的博客
04-29 560
摘要:本文深入分析了Linux环境下文件、进程及模块的高级隐藏技术,其中包括:Linux可卸载模块编程技术、修改内存映象直接对系统调用进行修改技术,通过虚拟文件系统proc隐藏特定进程的技术。隐藏技术在计算机系统安全中应用十分广泛,尤其是在网络攻击中,当攻击者成功侵入一个系统后,有效隐藏攻击者的文件、进程及其加载的模块变得尤为重要。本文将讨论Linux系统中文件、进程及模块的高级隐藏技术,这些技术...
5从用户空间隐藏内核模块_Linux_Rootkit.md
最新发布
这是一个c++热爱者的博客哟
02-03 828
事实上,我们的 Rootkit 仍在运行,这意味着我们仍在内存中,任何形式的内存分析或具有远程能力的 DFIR 专业人员都会很快发现我们(特别是使用“rootkit”之类的名称四处走动!列表中的每一项都不知道自己在大局中的位置,只知道谁在前面,谁在后面。结构作为字段包含在另一个结构中,该结构保存我们链接在一起的对象,更容易且更易于管理。事实上,在我们的内核模块中,我们可以通过查看指向和模块的指针来找出列表中哪些模块在我们之前/之后。请注意,在上面的内核源代码片段中,结构中没有条目或类似内容。
HideDriver.zip_HideDriver_模块隐藏_驱动隐藏
09-21
"HideDriver.zip_HideDriver_模块隐藏_驱动隐藏"的压缩包文件就提供了这样的技术实现。 "模块隐藏"是指在操作系统中使某个驱动程序模块不被常规方法检测到,通常通过修改驱动程序的属性或者利用系统内核机制来实现...
易语言隐藏进程模块源码.rar
08-03
标题 "易语言隐藏进程模块源码.rar" 指向的是一个使用易语言编写的应用程序,其主要功能是实现对进程的隐藏。易语言是一种中国本土开发的编程语言,旨在降低编程难度,使得非专业程序员也能进行软件开发。在这个...
利用C++ R3层断链实现模块隐藏功能
08-25
此外,这种隐藏模块的技术往往被滥用于恶意软件中,以逃避检测,因此在合法场景下使用时需特别谨慎。 总结来说,C++ R3层断链实现模块隐藏主要是通过对PEB和PEB_LDR_DATA结构体的操纵,断开模块在链表中的链接,...
易语言隐藏&显示任务栏图标模块源码-易语言
06-13
在这个"易语言隐藏&显示任务栏图标模块源码"中,我们可以深入理解易语言如何操作Windows系统任务栏图标的显示状态。 在Windows操作系统中,任务栏图标是程序运行状态的重要标志。用户可以通过这些图标快速切换应用...
易语言DLL隐藏模块源码-易语言
06-13
标题"易语言DLL隐藏模块源码-易语言"暗示了我们将会讨论如何在易语言中创建和使用DLL,并且这个DLL具有隐藏模块的特性。隐藏模块通常用于保护程序的核心功能,避免被恶意分析或篡改。这种技术在安全软件、加密工具等...
抓住被恶意隐藏Linux内核模块
Netfilter
05-11 5522
前面的文章介绍了一种相对彻底的隐藏Linux内核模块的方法: https://blog.csdn.net/dog250/article/details/106023941 总结下来就是: 摘除list,使得/proc/modules中不可见。 摘除kobject,使得/sys/modules/中不可见。 摘除depend on,使得依赖模块的/sys/modules/$(depended)/holder/中不可见。 摘除vmap area list/rbtree,使得/proc/vmallocinfo中不
Linux之内核级防火墙selinux模块
qq_41830712的博客
01-28 750
一、什么是selinuxSELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Lin...
Linux 隐藏驱动模块
qq_42931917的博客
09-09 5098
如果作为恶意驱动的话,肯定是希望自己模块加载之后不会被发现,那么就需要对安装的模块进行隐藏(其实就是让你使用查找命令找不到),使用以下函数在驱动初始化入口进行摘链+kobject_del()函数删除当前模块的kobject就可以起到在/sys/module中隐藏。 list_del_init(&__this_module.list); test.c #include <linux/module.h> MODULE_LICENSE("GPL"); MODULE_AUTHOR("cur
linux隐藏文件导出,看我如何通过Linux Rootkit实现文件隐藏
weixin_36296063的博客
04-28 685
预估稿费:180RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言一直以来,我希望能深入了解Linux内核内部是如何工作的。为实现这一点,有一个比较好的思路是写一个小的Rootkit PoC。大家可以在这里找到相关Rootkit代码。这是一个非常简单的Rootkit。其功能是,隐藏特定前缀的文件使其不可见。然而,假如我们知道这些文件或文件夹的位置,就仍然可以访问它们。但...
关闭SELinux的方法
qq_43682605的博客
02-24 2607
关闭SELinux的方法
linux显示内核模块的命令,在Linux系统中使用Lsmod命令列出内核模块(Kernel Modules)...
weixin_29288653的博客
04-28 931
lsmod是一个命令行实用程序,用于显示有关已加载的Linux内核模块(Kernel Modules)的信息。本文介绍内核模块的概念和在Linux操作系统中使用Lsmod命令列出内核模块的方法。内核模块(Kernel modules)概念介绍内核是操作系统的核心组件,它管理操作系统的资源,并且是计算机硬件和软件之间的桥梁。Linux内核具有模块化设计,内核模块(通常称为驱动程序)是一段扩展内核功能...
(渗透测试后期)Linux进程隐藏详解
热门推荐
qq_42882717的博客
03-27 1万+
文章目录(渗透测试后期)Linux进程隐藏详解前言Linux进程基础Linux进程侦查手段Linux进程隐藏手段一、基于用户态的进程隐藏方法1:小隐隐于/proc/pid——劫持readdir系统调用额外:加载至arm方法2:小隐隐于/proc/pid——mount 挂载二、基于内核态的进程隐藏方法3:大隐隐于内核——修改内核源码+系统调用方法4:大隐隐于内核——修改内核源码proc_pid_lookup方法5:大隐隐于内核——编写驱动/内核模块——LKM实现进程隐藏总结 (渗透测试后期)Linux进程隐藏
linux中如何关闭selinux
Alan_seeker的博客
06-30 3829
selinux是什么? 安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。 SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块SELinux 的结构及配置非常复杂,而且有大量概念性的东西,要学精难度较大。开启SEL...
C++ R3层断链:模块隐藏的C++实践
隐藏模块时,我们需要确保这个列表中不再包含目标模块。 3. **断链操作**: - 实现模块隐藏的核心是修改这些链表结构,比如通过设置`ProcessEnvironmentBlock`中的链表成员,使其不再指向目标模块,或者直接删除...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丁金金

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值