Linux Rootkit之二:Linux模块加载与信息隐藏

最新推荐文章于 2024-05-03 19:27:21 发布
最新推荐文章于 2024-05-03 19:27:21 发布
阅读量3.6k 收藏 6
点赞数
文章标签: linux内核 rootkit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011130578/article/details/46523949
版权
    LKM Rootkit是通过向系统中加载内核模块实现的。模块加载到系统后会增加一些可供系统探知其存在的信息,而这些信息正是Rootkit希望隐藏起来的。为了明确Linux模块向系统注册的信息以及隐藏方法,首先研究一下Linux模块加载的过程。

2.1 代码示例

    在Linux系统下创建一个名为rl_module.c的文件,填入如下内容:

#include <linux/init.h>
#include <linux/module.h>
#include <linux/fs.h>
#include <linux/cdev.h>
#include <linux/syscalls.h>
#include <linux/kernel.h>
#include <linux/sched.h>
#include <linux/netdevice.h>
#include <linux/list.h>

MODULE_LICENSE("Dual BSD/GPL");

static int __init rl_init(void)
{
    printk("RL Module init!\n");
	return 0;
}

static void __exit rl_exit(void)
{
    printk("RL Module exit!\n");
}
module_init(rl_init);
module_exit(rl_exit);

        再创建一个Makefile文件,填入如下内容:

#
# Makefile for linux/drivers/platform/x86
# x86 Platform-Specific Drivers
#

MODULE_NAME = rootkit-linux

ifneq ($(KERNELRELEASE),)
obj-m := $(MODULE_NAME).o 
$(MODULE_NAME)-objs := rl_module.o
else
KERNELDIR ?= /lib/modules/$(shell uname -r)/build
#KERNELDIR ?= /usr/src/linux
  PWD := $(shell pwd) 
default:
	 $(MAKE) -C $(KERNELDIR) M=$(PWD) modules
endif
clean:
	rm *.o *.ko *.symvers *.order .*.cmd *.markers $(MODULE_NAME).mod.c .tmp_versions -rf

    执行make,会得到名为rootkit-linux.ko的文件。

执行insmod命令加载模块:

#insmod rootkit-linux.ko

dmesg命令查看内核信息,会找到“RLModule init!”使用sys文件系统或lsmod也会查到rootkit-linux模块的信息:

使用rmmod命令可以卸载模块:


2.2模块加载流程

代码示例中所描述的是实现在Linux下加载模块的通常方法。这时出现几个问题:使用insmodmodprobe命令加载模块时Linux内核都做了哪些工作?模块中用module_initmodule_exit注册的函数是如何被调用的?要解答这些问题就需要了解Linux模块加载的流程。

2.2.1module_init函数和module_exit

Linux模块需要用module_init函数注册模块初始化函数,这个函数会在模块加载时由系统调用;用module_exit函数注册模块卸载函数,这个函数会在模块卸载时被调用。

include/linux/init.h中,module_initmodule_exit有两个定义,一个在MODULE宏没有定义时生效,一个MODULE宏被定义时生效。在模块中MODULE宏会被定义,来看看这种情况下的定义:

296 /* Each module must use one module_init(). */
297 #define module_init(initfn)                 \
298     static inline initcall_t __inittest(void)       \
299     { return initfn; }                  \
300     int init_module(void) __attribute__((alias(#initfn)));
301 
302 /* This is only required if you want to be unloadable. */
303 #define module_exit(exitfn)                 \
304     static inline exitcall_t __exittest(void)       \
305     { return exitfn; }                  \
306     void cleanup_module(void) __attribute__((alias(#exitfn)));

可见module_initmodule_exit宏是将它们的入参函数分别重命名为init_modulecleanup_module

代码编译完毕后生成的rootkit-linux.ko文件的格式是ELF。由于__init的作用,rl_init函数的代码被放在.init.text中,

最低0.47元/天 解锁文章
Remy1119
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux下2.6.32的rootkit隐藏文件目录
10-09
使用的是enyelkm v1.1本身的获取系统调用表的过程。 隐藏文件、目录通过修改sys_call_table第220项。
lkm-rootkit:作为 linux 内核模块实现的 rootkit
06-08
lkm-rootkit 作为 linux 内核模块实现的 rootkit ##Syscall 表:###NOTICE:此内核模块仅与 64 位 PC 兼容。 如果您的 PC 是 32 位,请不要运行。加载rootkit模块: make -f Makefilesudo insmod rootkit....
linux2.4内核模块隐藏,基于Linux2.4内核的防火墙模块结构
weixin_35513122的博客
04-29 132
2.4的结构比2.2从新定义了许多数据结构。2.2和2.4防火墙都采用模块机制,基本原理是一致的。Linux2.4内核的防火墙框架netfilter在IP层内提供了五个插入点:NF_IP_PRE_ROUTING,NF_IP_LOCAL_IN,NF_IP_FORWARD,NF_IP_LOCAL_OUT,NF_IP_POST_ROUTING,分别对应IP层的五个不同位置。这样,在理论上写用户自己的内核...
2024年Linux最全使用rkhunter检测Linuxrootkit(3),小白看完都学会了
最新发布
qq194582923的博客
05-03 1348
rootkitLinux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root 权限登录到系统。rootkit主要有两种类型:文件级别和内核级别。文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。
linux隐藏文件导出,看我如何通过Linux Rootkit实现文件隐藏
weixin_36296063的博客
04-28 670
预估稿费:180RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言一直以来,我希望能深入了解Linux内核内部是如何工作的。为实现这一点,有一个比较好的思路是写一个小的Rootkit PoC。大家可以在这里找到相关Rootkit代码。这是一个非常简单的Rootkit。其功能是,隐藏特定前缀的文件使其不可见。然而,假如我们知道这些文件或文件夹的位置,就仍然可以访问它们。但...
一个rootkit程序--隐藏文件和进程
To be, or not to be: that is the question
01-07 1587
This is SUSs rootkit. It can hide files and processes   when their names include "_sus_".=================================================================Written by dklkt.  2007.9Notice that
linux2.4内核模块隐藏,Linux环境下的高级隐藏技术
weixin_30490029的博客
04-29 185
linux相关资料由兄弟连www.itxdl.cn官方分享摘要:本文深入分析了Linux环境下文件、进程及模块的高级隐藏技术,其中包括:Linux可卸载模块编程技术、修改内存映象直接对系统调用进行修改技术,通过虚拟文件系统proc隐藏特定进程的技术。隐藏技术在计算机系统安全中应用十分广泛,尤其是在网络攻击中,当攻击者成功侵入一个系统后,有效隐藏攻击者的文件、进程及其加载模块变得尤为重要。本文将讨...
Linux Rootkit_evil_linux_rootkit_
10-02
1. **Linux内核编程**:了解内核模块如何编写和加载,以及它们如何与系统其他部分交互,这是分析rootkit的基础。 2. **系统调用**:理解Linux系统调用的工作方式,因为rootkit可能会修改这些调用来隐藏其存在。 3....
Linux系统调用劫持:技术原理、应用及检测.pdf
09-07
Linux环境中,尤其是基于可加载内核模块(LKMs)的rootkit,能够实现对文件、进程、网络连接等的隐藏,以及对可执行文件的重定向。 系统调用是操作系统提供给用户空间程序与内核交互的关键途径。在Linux中,系统...
linux2.4内核模块隐藏,教你怎样隐藏Linux 2.6的内核模块
weixin_28907839的博客
04-29 247
教你怎样隐藏Linux 2.6的内核模块发布时间:2006-01-26 09:25:37来源:红联作者:thej2.6内核与2.4内核相比,有了许多变化,模块部分的实现完全重写,结构也有了一些变化。2.4内核模块隐藏的方式为:(参考madsys的phrack 61-03)struct module *p;for (p=&__this_module; p->next; p=p-&gt...
Linux Rootkit 系列五:感染系统关键内核模块实现持久化
whatday的专栏
07-23 1046
前言 照旧,本文所需的相关代码位于如下代码仓库:Github 测试建议:为了愉快地 Happy Hacking,请不要在物理机玩火。 概要 本文分为两大部分, 第一部分是基于链接与修改符号表感染并劫持目标内核模块的初始函数与退出函数,使其成为寄生的宿主,实现隐蔽与持久性。第二部分为结合三个实际例子 ( lssec, lssym,setsym )的ELF 文件解析起步, 这一部分提供了我...
Casper-fs:一款功能强大的自定义隐藏Linux内核模块生成器
阿道夫的博客
01-29 326
针对lsmod的casper-fs模块可见操作密码为“Shazam”;将casper-fs改为不可见的操作密码为“AbraKadabra”;将敏感文件隐藏的操作密码为“Alakazam”,改为显示的操作密码也是“Alakazam”;文件的保护和解保护操作密码为“Sesame”;
一种Linux隐藏文件的新方法
weixin_33701564的博客
08-09 415
一. 概述目前通用的隐藏文件方法还是hooksys_getdents64系统调用, 大致流程就是先调用原始的sys_getdents64系统调用,然后在在buf中做过滤。修改sys_call_table是比较原始的rk技术了,碰到好点的管理员, 基本上gdb一下vmlinux就能检测出来。 如何想做到更加隐蔽的话,就要寻找新的技术。 inline hook也是目前比较流行的做...
Linux 环境下的高级隐藏技术
sdulibh的专栏
03-28 817
摘要:本文深入分析了Linux环境下文件、进程及模块的高级隐藏技术,其中包括:Linux可卸载模块编程技术、修改内存映象直接对系统调用进行修改技术,通过虚拟文件系统proc隐藏特定进程的技术。   隐藏技术在计算机系统安全中应用十分广泛,尤其是在网络攻击中,当攻击者成功侵入一个系统后,有效隐藏攻击者的文件、进程及其加载模块变得尤 为重要。本文将讨论Linux系统中文件、进程及模块的高级隐藏
linux 模块的使用
zhanglp的专栏
03-12 1183
1.  如一段模块的代码:hellomod.c(点击) #include #include #include static int __init lkp_init (void){    printk (" Hello, world! from the kernel space...\n");    return 0;} static void __exit lkp_e
第一个linux驱动模块分析:
qq_33472414的博客
07-08 423
我们先看一下代码: #include <linux/module.h> #include <linux/init.h> // 模块安装函数 static int __init chrdev_init(void) { printk(KERN_INFO “chrdev_init helloworld init\n”); return 0; } // 模块卸载函数 stat...
Linux下基于内存分析的Rootkit检测方法
weixin_34249678的博客
03-08 330
路人甲 · 2015/01/23 9:520x00 引言某Linux服务器发现异常现象如下图,确定被植入Rootkit,但运维人员使用常规Rootkit检测方法无效,对此情况我们还可以做什么?图1 被植入RootkitLinux服务器所有暗链的html文件ls均看不到。使用ls -al 绝对路径,能看到,但无法删除。这些暗链的uid和gid都很奇特 分别为 2511744398:40433612...
Linux内核rootkit防护:系统核心安全策略
开发这篇论文的原因有两个:一是认识到内核在现代Unix系统中的核心地位,二是注意到尽管有许多Linux强化指南,但它们往往忽略了对内核安全的专门关注,而其他OS组件(如子系统、守护进程等)的安全性却得到了更多的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值