Casper-fs:一款功能强大的自定义隐藏Linux内核模块生成器

最新推荐文章于 2024-02-03 00:44:57 发布
最新推荐文章于 2024-02-03 00:44:57 发布
阅读量328 收藏 2
点赞数
文章标签: linux python 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2203/article/details/128789317
版权

关于Casper-fs

Casper-
fs是一款功能强大的自定义隐藏Linux内核模块生成器,其中的每一个模块都可以在文件系统中工作并利用系统资源,然后根据YAML规则文件总的自定义规则列表来保护和隐藏各种敏感文件。

值得一提的是,即使你有root权限,你也无法查看、访问、编辑、修改和删除受到Casper-
fs所保护的文件。只有当用户向自定义设备发送了正确的密钥以释放文件系统中的操作时,才能查看、编辑和删除文件。

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/CoolerVoid/casper-fs.git

工具使用

准备工作

首先,我们需要运行下列命令来验证内核版本是否为3.x、4.x或5.x:

$ uname -r

接下来,进入项目目录中,然后安装Python 3模块:

$ cd casper-fs/module_generator

$ sudo python3 -m pip install -r requirements.txt

然后编辑“module_generator/rules/fs-
rules.yaml”文件中的YAML规则,Python脚本会使用这个文件来生成一个新的Casper-fs自定义模块:

$ cat module_generator/rules/fs-rules.yaml

binary_name: casperfs

module_name: Casperfs

unhide_module_key: AbraKadabra

hide_module_key: Shazam

fake_device_name: usb15

unhide-hide-file-key: Alakazam

unprotect-protect-file-key: Sesame

fs-rules:

- hidden:

   1: secret.txt

   2: my_vault.db

- protect:

   1: backup_httpd.log

我们可以在文件的上下文插入大量需要保护和隐藏的元素,比如说:

- protect:

   1: backup_httpd.log

   2: secret_img.iso

   3: secret_file.img

   4: secret_file2.img

   5: secret_file3.img

如果你想要了解静态代码相关的生成方法,可以查看项目中“templates”目录下的内容。

生成模块

如果你向按照YAML文件规则来生成一个内核模块的话,可以直接运行下列命令:

$ python3 casper-fs-gen.py --rules rules/fs-rules.yaml

上述代码将使用fs-rules.yaml来生成一个通用模块。

安装模块

如果你使用的是Fedora Linux,可以使用下列命令为开发人员安装内核包:

# dnf update

# dnf install kernel-headers.x86_64 kernel-modules.x86_64 kernel.x86_64 kernel-devel kmod

Ubuntu Linux安装方式如下:

apt install linux-headers-generic gcc make

下列命令可以测试模块功能:

# cd output; make clean; make

# insmod casperfs.ko

运行自定义模块

针对lsmod的casper-fs模块可见操作密码为“Shazam”;

将casper-fs改为不可见的操作密码为“AbraKadabra”;

将敏感文件隐藏的操作密码为“Alakazam”,改为显示的操作密码也是“Alakazam”;

文件的保护和解保护操作密码为“Sesame”;

我们需要向目标设备发送密码(例如“usb15”)来测试文件系统中的隐藏和解隐藏资源:

$ touch secret.txt

$ ls

-- no results--

$ echo "Alakazam" > /dev/usb15

$ ls

secret.txt

$ echo "Alakazam" > /dev/usb15

$ ls

-- no results--

工具使用样例

下列样例中,我们将尝试删除受Casper-fs保护的文件。注意,我们需要使用lsmod命令将Casper-fs调整为可见,因此需要先执行下列操作:

# ls

test.txt  log.txt backup_httpd.log

# rm backup_httpd.log

# ls

test.txt  log.txt backup_httpd.log

# echo "Sesame" > /dev/usb15            // to remove protection

# rm backup_httpd.log

# ls

test.txt  log.txt

# echo "Sesame" > /dev/usb15    // to active protection again

然后才可以执行删除操作:

# rmmod casperfs

rmmod: ERROR: ../libkmod/libkmod-module.c:799 kmod_module_remove_module() could not remove 'casperfs': No such file or directory

rmmod: ERROR: could not remove module casperfs: No such file or directory

# lsmod | grep casper

# echo "Shazam" > /dev/usb15

# lsmod | grep casper

casperfs

# rmmod casperfs

工具运行截图

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【扫下方二维码】就可以领取了,无偿分享

AIGC阿道夫
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
隐藏内核模块的方法
06-30 1899
在rootkit.com上一个russian hacker发的文章中提到这两种方法,和他交流了下,在llroot中实现了,代码贴出来灌水:/********************************************************************************** The following routines implement hide dri
Casper-server:CasperAPI提供程序应用程序
05-02
注意截至目前,我们尚未为您提供文件夹“供应商”,因此服务器将无法构建,也不会客户端。 造成您的不便,我们深表歉意。 CasperAPI提供程序应用程序。 CasperAPI是分散式数据存储。 我们对Internet的状态深感关切,并认为,借助最新的去中心化技术,我们至少可以立即开始改变数据的存储和分发方式。 目录 安装 您可以下载和使用预构建的二进制文件(下载)。 如果没有适合您的操作系统,或者您想从头开始构建所有内容,请按照以下说明进行操作。 有关如何运行自己的节点的说明,请参阅。 从源头建造 基于DebianLinux 先决条件 对于构建过程,您需要Go 1.9.2或更高版本。 我们还假设您已经导出了$ GOROOT和$ GOPATH变量,并且已经将$ GOROOT / bin导出到了$ PATH环境变量中。 apt-get install build-essential \ s
隐藏自己的Linux内核模块
Netfilter
05-09 5677
前面我提倡使用oneshot模式加载模块,即让模块在init函数中把事情做完后就return -1,这样系统中便不存在这么一个模块,也就不需要隐藏了。 但是,由于THIS_MODULE宏的存在,我们发现实际上隐藏一个模块是多么地简单。事实上,模块可以在init函数中通过THIS_MODULE宏实现自隐藏的。 既然如此简单,还费事搞oneshot干嘛,精神洁癖总是不想看到return -1。 和进程隐藏完全不同,进程无法自己隐藏自己,只能依靠其它模块找到相应的task_struct,然后再摘链。 THIS_M
隐藏内核模块
weixin_33744854的博客
06-12 511
四、隐藏内核模块 对于内核模块,我原以为IS会通过获取内核变量PsLoadedModuleList,然后在通过这个来遍历所有的内核模块。假设此时获得结果1。通过调用函数NtQuerySystemInformation,参数SystemModuleInformation,假设此时获得结果2。再把结果1与结果2进行比较,这样就会发现被隐藏的模块。但事实证明我想的太复杂...
linux2.4内核模块隐藏,教你怎样隐藏Linux 2.6的内核模块
weixin_28907839的博客
04-29 249
教你怎样隐藏Linux 2.6的内核模块发布时间:2006-01-26 09:25:37来源:红联作者:thej2.6内核与2.4内核相比,有了许多变化,模块部分的实现完全重写,结构也有了一些变化。2.4内核中模块隐藏的方式为:(参考madsys的phrack 61-03)struct module *p;for (p=&__this_module; p->next; p=p-&gt...
5从用户空间隐藏内核模块_Linux_Rootkit.md
最新发布
这是一个c++热爱者的博客哟
02-03 785
事实上,我们的 Rootkit 仍在运行,这意味着我们仍在内存中,任何形式的内存分析或具有远程能力的 DFIR 专业人员都会很快发现我们(特别是使用“rootkit”之类的名称四处走动!列表中的每一项都不知道自己在大局中的位置,只知道谁在前面,谁在后面。结构作为字段包含在另一个结构中,该结构保存我们链接在一起的对象,更容易且更易于管理。事实上,在我们的内核模块中,我们可以通过查看指向和模块的指针来找出列表中哪些模块在我们之前/之后。请注意,在上面的内核源代码片段中,结构中没有条目或类似内容。
casper-child::ghost: Casper 的入门儿童主题
07-14
Casper 工作后,将casper-child文件夹与casper文件夹一起上传到您的 WordPress 主题目录中。 在您的仪表板中,激活 Casper Child 主题以使其生效。 默认情况下,包含一个style.css ,您可以使用它编写 CSS 规则来...
casper-compiler:CASPER的主机语言API和代码生成
03-13
CASPER编译器 基于LLVM项目中MLIR的后端。 建造 要构建编译器和示例应用程序: $ mkdir build && cd build $ CC=clang CXX=clang++ cmake -DCMAKE_BUILD_TYPE=Release .. $ make
casper-nginx-broker:casper-nginx-broker
02-08
如果casper-nginx-broker是一个Nginx模块,那么它可能提供了额外的功能,比如动态配置管理、智能路由策略或者其他高级的负载均衡机制。 为了深入理解casper-nginx-broker的工作原理,你需要熟悉以下几个方面的知识...
casper-node:CasperLabs节点
02-23
面向区块链的下一个领域,Casper专为现实应用而设计,而不会牺牲可用性,成本,分散性或安全性。 它通过使区块链易于使用,向世界开放以及面向未来的方式来支持当今和未来的创新,消除了阻碍主流区块链采用的障碍。...
casper-rwU盘Linux的一个可写的分区
06-23
U盘Linux的一个可写的分区。可根据个人喜好选侧不同大小的分区。
linux2.4内核模块隐藏,Linux环境下的高级隐藏技术
weixin_30490029的博客
04-29 191
linux相关资料由兄弟连www.itxdl.cn官方分享摘要:本文深入分析了Linux环境下文件、进程及模块的高级隐藏技术,其中包括:Linux可卸载模块编程技术、修改内存映象直接对系统调用进行修改技术,通过虚拟文件系统proc隐藏特定进程的技术。隐藏技术在计算机系统安全中应用十分广泛,尤其是在网络攻击中,当攻击者成功侵入一个系统后,有效隐藏攻击者的文件、进程及其加载的模块变得尤为重要。本文将讨...
抓住被恶意隐藏Linux内核模块
Netfilter
05-11 5491
前面的文章介绍了一种相对彻底的隐藏Linux内核模块的方法: https://blog.csdn.net/dog250/article/details/106023941 总结下来就是: 摘除list,使得/proc/modules中不可见。 摘除kobject,使得/sys/modules/中不可见。 摘除depend on,使得依赖模块的/sys/modules/$(depended)/holder/中不可见。 摘除vmap area list/rbtree,使得/proc/vmallocinfo中不
Linux 隐藏驱动模块
qq_42931917的博客
09-09 5052
如果作为恶意驱动的话,肯定是希望自己模块加载之后不会被发现,那么就需要对安装的模块进行隐藏(其实就是让你使用查找命令找不到),使用以下函数在驱动初始化入口进行摘链+kobject_del()函数删除当前模块的kobject就可以起到在/sys/module中隐藏。 list_del_init(&__this_module.list); test.c #include <linux/module.h> MODULE_LICENSE("GPL"); MODULE_AUTHOR("cur
U盘版便携式Linux制作
编码人的专栏
09-23 6548
一直都在想,不管用谁的电脑,我都可以得到一个完全一致的工作环境,上面有我喜爱的软件,有我保存的重要资料,甚至浏览器的各种偏好都得一模一样!现在的云计算技术可以部分解决这个问题,但是远远不够。我的理想境界是,无论身处何地,一开机,看到的就是自己的电脑,或者相当于自己的电脑!自己可以任意处理自己的数据,不把隐私泄露给别人,当然也不要破坏人家已有的软件环境。要实现该理想,有几个办法: 1. 随时带一个笔记本或者上网本。到哪里都用它。 2. 带一个小小的U盘,里面装好操作系统和软件,到哪里都可以用它。 3.
linux隐藏文件导出,看我如何通过Linux Rootkit实现文件隐藏
weixin_36296063的博客
04-28 676
预估稿费:180RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言一直以来,我希望能深入了解Linux内核内部是如何工作的。为实现这一点,有一个比较好的思路是写一个小的Rootkit PoC。大家可以在这里找到相关Rootkit代码。这是一个非常简单的Rootkit。其功能是,隐藏特定前缀的文件使其不可见。然而,假如我们知道这些文件或文件夹的位置,就仍然可以访问它们。但...
linux文件生成器,Linux报告生成器工具awk
weixin_36302331的博客
04-29 120
Linux报告生成器工具awkawk:根据输入的信息格式化后显示出来1.1、awk基本用法awk [options] 'script' file1,file2,....或 awk [options] 'PATTERN [ACTION]' file1,file2....示例:awk '{print $1}' test.txtoptions:-F:定义分隔符示例awk -F: 以冒号为分隔符1.2、a...
linux 日志报告生成器,Linux报告生成器工具awk
weixin_42250528的博客
05-02 97
Linux报告生成器工具awkawk:根据输入的信息格式化后显示出来1.1、awk基本用法awk [options] ‘script‘ file1,file2,....或 awk [options] ‘PATTERN [ACTION]‘ file1,file2....示例:awk ‘{print $1}‘ test.txtoptions:-F:定义分隔符示例awk -F: 以冒号为分隔符1.2、a...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值