Linux Rootkit之三:系统调用劫持简介

最新推荐文章于 2024-04-24 12:15:00 发布
最新推荐文章于 2024-04-24 12:15:00 发布
阅读量2.4k 收藏 2
点赞数
文章标签: linux内核 rootkit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011130578/article/details/46524683
版权

3.1 系统调用的功能

        Linux中进程运行的模式有两个:用户态和内核态。运行的用户态的进程功能比较少,要想与硬件设备交互就必须切换到内核态。系统调用就是进程由用户态进入到内核态的唯一入口。

        这种实现方式有很多优点:

(1)简化编程方式

编码人员不需要学习过多的硬件设备的编程特性;

(2)极大地提高了系统的安全性

内核在满足莫个请求之前在接口级就可以检查这种请求的合法性;

(3)增强了程序的可移植性

系统通过维持接口不变来隐藏了不同的底层平台和硬件的差异,使得应用程序的跨平台移植更加容易。

3.2 系统调用的实现方式

    Linux所有的系统调用的执行流程都是:

(1)在用户态发起系统调用请求

(2)进程切换到内核态

(3)找到sys_call_table中与系统调用号对应的函数

(4)执行内核函数

(5)返回到用户态

    根据进程切换到内核态所执行指令的不同系统调用可分为int 0x80模式、sysenter模式和syscall模式三种。

    int 0x80中断模式是最古老的模式,它通过用户态进程使用int指令发起0x80中断的方式进入内核态,由相应的内核中断处理函数找到sys_call_table中的函数并执行。

    进程使用sysenter指令也可以切换到内核态,且效率比int 0x80方式更高。在CPU支持sysenter的情况下,系统调用由sysenter指令实现。

    在32位系统中Linux使用int 0x80和sysenter切换到内核态,在64位环境下使用的时syscall指令。

3.3 系统调用劫持简介

    系统调用劫持是指在内核设置hook点,使得所有系统调用在陷入到先调用hook点中的函数,然后才调用真正的内核处理函数。这样就能截获并控制系统调用。

    系统调用劫持的方法有:

(1)截获sys_call_table

(2)截获0x80中断向量

(3)截获sysenter处理函数指针

(4)截获syscall处理函数指针

    接下来详细讨论各种劫持方法。



Remy1119
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
rootkit 内核函数hook
aod83029的博客
04-11 368
转自:https://0x90syntax.wordpress.com/2016/02/21/suterusu-rootkitx86%e4%b8%8earm%e7%9a%84%e5%86%85%e8%81%94%e5%86%85%e6%a0%b8%e5%87%bd%e6%95%b0hooking/ Suterusu Rootkit:x86与ARM的内联内核函数Hooking 二月 2...
Linux4.19-通过IDT获取sys_call_table实现系统调用劫持
CalvinXu
05-09 1897
上一篇博客写了如何获取IDT地址,这里将接着上一篇博客继续写,如果还不清楚如何获取IDT可以看一下我的上一篇博客:Linux4.19-获取IDT地址:https://blog.csdn.net/qq_41208289/article/details/106012230 这里再次声明一下,博主的系统为目前最新版本的Debian10,Linux4.19内核(32位x86机器) 前言 网上的绝大部分博客对于获取sys_call_table的方法在目前的内核中都已经失效,Linux大概从4.8开始加入了保
linux劫持进程函数,Linux系统内核劫持方法分析(3)
weixin_42166623的博客
04-30 269
call *sys_call_table(0, %eax, 4) //Calling sys_call_table[eax]movl %eax,PT_EAX(%esp) //Storing of return value系统调用例程核心。eax寄存器存放系统调用号,即sys_call_table数组索引值,指向某个特定系统调用函数。函数返回值将存放到栈中的eax寄存器中,返回给用户空间...
linux内核怎么修改,Linux内核参数调整方法
weixin_36208314的博客
04-29 2089
ulimit设置ulimit -n 要调整为100000甚至更大。 命令行下执行 ulimit -n 100000即可修改。如果不能修改,需要设置 /etc/security/limits.conf,加入* soft nofile 262140* hard nofile 262140root soft nofile 262140root hard nofile 262140* soft core ...
linux 内核热更换,如何替换一个Linux内核函数的实现-热补丁原理
weixin_33708633的博客
04-30 564
看题目, 替换Linux内核函数的实现 ,what?这不就是kpatch嘛!也就是我们所谓的 热补丁 。我们为内核做热补丁的时候,没人用汇编写吧,没人用二进制指令码去拼逻辑吧,我们一般都是直接修改内核函数的C代码的,然后形成一个patch文件,然后…然后…去读kpatch的Documents吧。本文我将要描述的是热补丁的原理,而不是一个如何使用kpatch的Howto,更不是关于任何kpatch技...
Hijack linux system calls rootkit:劫持 linux 系统调用-开源
07-17
劫持linux系统调用,例如调用open系统调用时,会调用新的被劫持系统调用,而不是原来的系统调用。 请参阅:http://se7so.blogspot.com/2012/07/hijacking-linux-system-calls-rootkit.html
Linux系统调用劫持:技术原理、应用及检测.pdf
09-07
Linux系统调用劫持是一种黑客技术,用于在操作系统内核层面植入后门,以保持对系统的非法访问。这种技术常被用于制作rootkitrootkit是攻击者用来隐藏其活动和保留管理员权限的工具集合。在Linux环境中,尤其是基于...
基于Linux系统调用内核Rootkit技术研究.pdf
09-06
《基于Linux系统调用内核Rootkit技术研究》这篇论文深入探讨了...总之,本文对Linux内核Rootkit系统调用劫持技术进行了深入研究,提供了宝贵的参考文献和专业指导,对于系统开发和安全防护领域具有很高的价值。
linux 内核rootkit adore-ng-0.56
02-17
Rootkit可以篡改系统调用,修改内核模块,甚至劫持网络流量,使得常规的安全工具无法发现它们。 Adore-ng是一个功能强大的rootkit,它的名字是由“Advanced Rootkit and Offense Exploit Next Generation”的首字母...
linux下实现域名劫持
08-26
linux上实现的一个用C编写的域名劫持功能,可以截取在此linux机器上转发的DNS报文并修改内容,实现域名劫持的功能。
linux动态替换内核函数,如何替换一个Linux内核函数的实现-热补丁原理
weixin_31926457的博客
04-29 366
看题目, 替换Linux内核函数的实现 ,what?这不就是kpatch嘛!也就是我们所谓的 热补丁 。我们为内核做热补丁的时候,没人用汇编写吧,没人用二进制指令码去拼逻辑吧,我们一般都是直接修改内核函数的C代码的,然后形成一个patch文件,然后…然后…去读kpatch的Documents吧。本文我将要描述的是热补丁的原理,而不是一个如何使用kpatch的Howto,更不是关于任何kpatch技...
linux动态替换内核函数,Linux内核中 如何动态替换系统调用函数
weixin_42138780的博客
04-29 213
通过修改内核源码修改系统调用,对一般的开发者来说太费时间,使用动态模块修改系统调用,省时省力,能够快速切换。先通过getSyscallTable(void)获得内存中的系统调用表的地址,然后就可以将自己的函数指针放在上面了。千万别忘了保存和恢复原来的系统调用指针!看看源代码吧!!Makefile:obj-m := syscall.oKERNELDIR := /lib/modules/$(shell...
编写一个简单的linux kernel rootkit
windy_ll的博客
08-08 873
编写一个简单的linux kernel rootkit
保护linux系统调用,Linux Rootkit 系列二:基于修改 sys_call_table 的系统调用挂钩
weixin_42169245的博客
05-01 444
前言: 《Linux Rootkit 系列一: LKM的基础编写及隐藏》的作者似乎跑路了;留下的这个口锅,我试着背一下。鉴于笔者知识能力上的不足,如有问题欢迎各位扔豆腐,不要砸砖头。与第一篇文章作者所想象的不同,本文不打算给大家介绍三种不同的系统调用挂钩技术,相反,本文仅详细讲解最简单的系统调用挂钩方案,并且基于这个方案实现最基本的文件监视工具。这样,既可以让读者轻松上手进行实际应用, 又可以加深...
Hook技术--③Linux系统调用劫持 hook
一些个人笔记,写的不好之处,还请海涵
10-31 512
使用Makefile编译,insmod插入内核模块后,再执行ls时,就会进入到我们的系统调用,我们可以在hook代码中删掉某些文件,ls就不会显示这些文件,但是这些文件还是存在的。当用户态发起一个系统调用时,会通过80软中断进入到syscall hander,进而进入全局的系统调用表sys_ call _table去查找具体的系统调用,那么。系统调用劫持的目的是改变系统中原有的系统调用,用我们自己的程序替换原有的系统调用。,系统调用表实际上是指针数组,下标是系统调用号,
劫持linux系统函数 malloc free linux打桩hooking
最新发布
万有文的博客
04-24 1465
Linux中,“打桩”(stubbing)或"钩子"(hooking)是一种修改程序行为的技术,通常用于测试、调试或功能增强。对于malloc和free这样的函数,打桩通常用于追踪内存分配和释放情况,或用于在内存管理中加入额外的逻辑。
Linux 库文件劫持
travelnight的博客
09-09 2023
Linux库文件劫持
Linux 函数调用劫持的方法总结(带图)
布袋和尚
06-24 903
Ring3中劫持Ring0中劫持Kernel Inline Hooksyscall table 修改内核调试机制 Kprobe在 Linux 中,动态库加载的时候,会按照以下顺序进行搜索:方法原理:通过 LD_PERELOAD 定义在程序运行前优先加载的动态链接库为自己编写的动态库。例子:劫持 gets() 函数 设置 LD_PRELOAD 编写一个测试程序 test.c 函数调用劫持效果 2.1、Kernel Inline Hook原理:一个系统调用调用子函数的,这是通过段内偏移的方式完成
Linux Kernel Hook实验:系统调用拦截与sys_call_table修改
实验4 Linux Kernel Hook实验指南详细介绍了在Linux系统中实现内核级Hook功能的方法,主要关注于通过修改sys_call_table来实现系统调用的钩子。以下是关键知识点的详细阐述: 1. 实验背景与目标: 实验目的是为了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值