rootkit for linux 15.寻找eth设备

最新推荐文章于 2021-05-12 17:40:57 发布
最新推荐文章于 2021-05-12 17:40:57 发布
阅读量1k 收藏
点赞数
文章标签: linux list each 笑话 编译器 tcp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/varg_vikernes/article/details/3501041
版权

最近在复习考试,面对砖头一样的《数据库原理》,真的很想把它像砖头一样扔出去。

往往复习的时候,效率爆低,因为我无法明白,离开了程序,还要什么好学的、好背的。真的很佩服那些在图书馆看书看一整天的人,莫非他们的脑子里内置了一个编译器?

这几天屡屡dota,感觉比较浪费时间,还是上来写点blog为好。

 

这学期我们还开了《计算机网络》,相比其他科,这科还显得有用点,也没那么理论。这几天补了一下基础知识,觉得还是先在rootkit里实现tcp/ip传输。这世道真是tcp的天下啊,少了它干嘛嘛不成。

 

实现的意思呢,就是脱离内核,自己实现一个简易的tcpip协议栈。

这样做的好处是不经过netfilter,完全脱离内核的限制。

 

有人说“这太疯狂了,我们还是有办法搞定netfilter的吧,没必要这样做来绕过它啊”

你知道鄙视的最高境界是什么吗?是蔑视。就是压根不把它当回事。当你对一个东西失去了信心的时候,就会蔑视它,比如说中国足球或者应试教育。

 

看了lwip(一个开源的小型tcpip协议栈)的源码后,觉得自己实现一个也不是那么遥不可及。吗的,程序员就应该疯狂点。

 

千里之行,始于足下。首先,我们要找到以太网设备。

  1. int register_netdevice(struct net_device *dev)
  2. {
  3. ...
  4.     list_add_tail(&dev->dev_list, &dev_base_head);
  5. ...

首先,网络设备的注册,必然会把dev加入到dev_base_head中。

  1. #define for_each_netdev(d)      /
  2.         list_for_each_entry(d, &dev_base_head, dev_list)
  5. struct net_device *dev_getbyhwaddr(unsigned short type, char *ha)
  6. {
  7.     struct net_device *dev;
  9.     ASSERT_RTNL();
  11.     for_each_netdev(dev)
  12.         if (dev->type == type &
  13.             !memcmp(dev->dev_addr, ha, dev->addr_len))
  14.             return dev;
  16.     return NULL;
  17. }

我们顺藤摸瓜,找到了这个函数。都是老套路了,反汇编一下。

  1.    0:   55                      push   %ebp
  2.    1:   0f b7 c0                movzwl %ax,%eax
  3.    4:   57                      push   %edi
  4.    5:   56                      push   %esi
  5.    6:   53                      push   %ebx
  6.    7:   83 ec 18                sub    $0x18,%esp
  7.    a:   89 54 24 10             mov    %edx,0x10(%esp)
  8.    e:   89 44 24 14             mov    %eax,0x14(%esp)
  9.   12:   e8 e9 71 00 00          call   0x7200
  10.   17:   85 c0                   test   %eax,%eax
  11.   19:   75 72                   jne    0x8d
  12.   1b:   8b 1d fc c4 35 c0       mov    0xc035c4fc,%ebx
  13.   21:   83 eb 30                sub    $0x30,%ebx
  14.   24:   8b 6b 30                mov    0x30(%ebx),%ebp
  15.   27:   0f 18 45 00             prefetchnta 0x0(%ebp)
  16.   2b:   81 3d fc c4 35 c0 fc    cmpl   $0xc035c4fc,0xc035c4fc
  17.   32:   c4 35 c0 
  18.   35:   75 1b                   jne    0x52
  19.   37:   eb 48                   jmp    0x81

看到没,16行就是我们要找的了,判断list_head是否为空。我不说你也知道该咋办了吧。

  1. dev_base_head: .fill 4
  2. net_device.dev_list: .long 0x30
  4. EXPORT_LABEL(netdev_mod_init)
  5.     PUSH_ALL
  6.     
  7.     GET_VAL32(dev_getbyhwaddr, %eax)
  8.     movl %eax, (%esp)
  9.     movl $0x50, 0x4(%esp)
  10.     call 1f
  11.     .byte 0x00; .long 0x0000ffff; .long 0x00003d81;
  12.     .byte 's'; .byte 0x02; .long 0xffffffff;
  13.     .byte 'e'
  14. 1:  popl %eax
  15.     movl %eax, 0x8(%esp)
  16.     GET_ADDR(dev_base_head, %eax)
  17.     movl %eax, 0xc(%esp)
  18.     call xde_find
  19.     testl %eax, %eax
  20.     jz netdev_mod_init_out
  22. #ifdef _DEBUG_
  23.     GET_VAL32(dev_base_head, %edx)
  24.     movl %edx, 4(%esp)
  25.     DPRINT("<3>dev_base_head %lx/n")
  26. #endif
  27.     
  28.     // for_each_netdev ..
  29.     GET_VAL32(dev_base_head, %edi)
  30.     movl %edi, %esi
  31.     movl (%esi), %esi
  33. 1:  cmpl %edi, %esi
  34.     jz 2f
  35.     
  36. #ifdef _DEBUG_
  37.     CONTAINER_OF(%esi, net_device.dev_list, %ebp)
  38.     movl %ebp, 4(%esp)
  39.     DPRINT("<3>netdev: %s/n")
  40. #endif
  42.     // strncmp(dev->name, "eth", 3);
  43.     // name is always the first member of net_device ~~!
  44.     CONTAINER_OF(%esi, net_device.dev_list, %ebp)
  45.     movl (%ebp), %eax
  46.     andl $0x00ffffff, %eax
  47.     cmpl $0x00687465, %eax
  48.     jz 3f
  49.     
  50.     movl (%esi), %esi
  51.     jmp 1b
  53. 2:  
  54. #ifdef _DEBUG_
  55.     DPRINT("<3>eth dev not found/n")
  56. #endif
  57.     jmp netdev_mod_init_out
  59. 3:  
  60. #ifdef _DEBUG_
  61.     DPRINT("<3>eth dev found/n")
  62. #endif
  64. netdev_mod_init_out:
  65.     xorl %eax, %eax
  66.     POP_ALL
  67.     ret
  68.     

这样,我们就找到了eth设备。至于tcp ip的实现,考完试先吧。

 

这篇文章没有什么技术含量,因为最重要的东西还没说。

 

先讲个笑话吧:

 

一次逛街时突然觉得肚子很痛
      于是走进街角的199吃到饱的火锅店
      想说借个厕所用用
      偏偏找遍了一楼就是找不到
      于是我跑到二楼去
      二楼是还在装修空荡荡的没有任何东西
      但是却发现有一间厕所贴著“故障待修,请勿使用“
      我实在是忍不住了
      管他三七二十一,反正四下无人
      脱了裤子就朝马桶蹲下去
      霹雳啪啦……好爽! !
      
      结束后
      我走下楼去却发现空无一人
      奇怪了,正值晚餐时间 刚才楼下还高朋满座
      怎么一下子就人去楼空呢?连服务生和接待都不见了……
       於是我走近吧台,
      并且问到:有人在吗?怎么都没人了?
      此时,只见一个男服务生从吧台下钻出来,
      并且开口说:
      我操!……刚才大便从天花板掉下来
   打到电风扇的时候你不在吗?算你运气好......

 

今天看到这笑话,彻底笑翻了,所以心情特好,就写了这篇文章。

 

varg_vikernes
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux查看脚本内信息,查看linux硬件信息脚本
weixin_31234793的博客
04-30 130
查看linux硬件信息脚本#!/bin/bash#This script is used to check the server#systeminfosystem_info() {echo"**********************************************"echo "systeminfo:"echoecho " System-release : `cat/etc/r...
Linux网络中通知链的使用
andylauren的专栏
04-18 641
Linux 网络内核代码中使用了通知链(Notification Chains)来使相关的子系统对感兴趣的事件作出反应。下面从头介绍一下通知链的使用。 数据结构定义 通知链使用的数据结构如下: struct notifier_block { int (*notifier_call)(struct notifier_block *, unsigned long, void *);
Linux inet_select_addr分析
lickylin的专栏
08-24 3430
主要是阅读arp相关的代码时遇到了这个函数。主要是在发送arp请求时,若产生请求的主机有多个ip地址时,通过该函数获取到最佳的ip地址。         __be32 inet_select_addr(const struct net_device *dev, __be32 dst, int scope) { __be32 addr = 0; struct in_device
NETDEV 协议 三
Free Bar
01-17 2098
内核版本:2.6.34 802.1q 1. 注册vlan网络系统子空间,   err = register_pernet_subsys(&vlan_net_ops); static struct pernet_operations vlan_net_ops = { .init = vlan_init_net, .exit = vlan_exit_net,
IPv6使能开关
redwingz的博客
02-23 2511
默认情况下,IPv6是开启状态,即PROC文件disable_ipv6的值为零。 $ cat /proc/sys/net/ipv6/conf/all/disable_ipv6 0 $ cat /proc/sys/net/ipv6/conf/default/disable_ipv6 0 $ cat /proc/sys/net/ipv6/conf/ens33/disable_ipv6 0 如下代码所示,默认情况下all和default中的disable_ipv6配置值都为0。 static struct ip
Sample Rootkit for Linux.zip
最新发布
06-22
Linux是一套免费使用和自由传播的类Unix操作系统,由林纳斯·托瓦兹于1991年首次发布。 Linux不仅是一个强大的操作系统,也是一个庞大的技术生态系统,涵盖了从服务器到个人电脑的各种应用场景。同时,它的开源特性...
Linux系统下Rootkit检测方法探讨.pdf
09-06
Linux系统下Rootkit检测方法探讨.pdf
一种新型Linux内核级Rootkit设计与实现.pdf
09-06
一种新型Linux内核级Rootkit设计与实现.pdf 一、Rootkit概述 Rootkit是一种特殊类型的恶意软件,其功能是隐藏自身及指定的文件、进程和网络连接等信息。攻击者通常使用Rootkit来隐藏他们的踪迹,避免被检测和追踪...
一种基于内核定时器和工作队列的Linux rootkit.pdf
09-06
一种基于内核定时器和工作队列的Linux rootkit.pdf
Linux下基于可执行路径分析的内核rootkit检测技术研究.pdf
09-07
Linux下基于可执行路径分析的内核rootkit检测技术研究】 在计算机安全领域,rootkit是一种极具威胁的恶意软件,它能够隐藏攻击者的踪迹,维持对系统的非法访问,并可能进行密码盗窃或其他恶意活动。当系统被...
网络子系统关键函数分析(未完待续)
嵌入式Linux
01-29 4332
内核版本:2.6.30 CPU:S3C2440 根据>一书,本文将对网络子系统用到的关键函数进行一一分析。 下文将简称该书为>。 本文还将提及另一本书:>,下文将简称>。 函数列表及添加日期: alloc_netdev_mq        2013.1.29 ether_setup                  2013.1.30 1.alloc_netdev_
net_device
u013071952的专栏
01-01 986
struct net_device表示一个网卡,通过init_net串在一起(不考虑net namespace) struct net init_net; EXPORT_SYMBOL(init_net); struct net定义了一个链表头以及两个hash表头用于快速寻找相应的net_device数据结构 struct net { atomic_t passive;
Linux4.1.12源码分析】协议栈gro收包之VXLAN处理
one_clouder的专栏
11-05 2738
VXLAN gro处理不是通过定义常量实现的,而是通过动态注册的实现的,在UDP层处理时我们知道是注册到udp_offload_base全局变量中,我们先看下注册过程 vxlan_socket_create函数 /* Create new listen socket if needed */ static struct vxlan_sock *vxlan_socket_create(str
linux内核学习笔记之——list_for_each_entry
热门推荐
嵌入精灵
07-24 2万+
<br />在Linux内核源码中,经常要对链表进行操作,其中一个很重要的宏是list_for_each_entry:<br />意思大体如下:<br />假设只有两个结点,则第一个member代表head,<br />list_for_each_entry的作用就是循环遍历每一个pos中的member子项。<br /><br />图1:<br />pos:                                                           pos:<br />_______
Linux 网络通知链
点滴成长
07-06 1738
linux网络代码的通知链
linux获取网卡协议地址,读取linux下的网络设备的mac地址与发送原始数据包 (2011-11-23 20:11)...
weixin_36131590的博客
05-01 342
一:linux下的网络设备linux的网络设备信息都在/proc/net/dev,从这里我们可以得到所有网卡的名字,如eth0, eth1等等root@dlrc-desktop:/home/dlrc/dlsp-ep9302/work/mystar-v0.4# cat /proc/net/devInter-| Receive | Transmitface |bytes packets errs dr...
linux下编译新内核,解决无法找到eth0设备问题,安装eth0网卡驱动
好习惯成就伟大
12-25 3222
由于我的blktrace运行时出现问题,只能对设备测试一次,第二次的时候就会报如下错误:no such file or directory google了解决方案,很多都说是内核版本的问题,简单的方法解决不了啊,测试不能不做啊,所以今天只能果断换内核版本了(不过我想说每编一次内核,都会遇到新的问题,整个人心都醉了~这次也不例外啊~编一次内核,呆了一下午机房,虽然解决问题的能力渣渣,不过不得不为...
linux虚拟网络设备--eth, tap/tun, veth-pair(九)
bob的博客
05-12 761
Linux 虚拟网络的背后都是由一个个的虚拟设备构成的。虚拟化技术没出现之前,计算机网络系统都只包含物理的网卡设备,通过网卡适配器,线缆介质,连接外部网络,构成庞大的 Internet。 然而,随着虚拟化技术的出现,网络也随之被虚拟化,相较于单一的物理网络,虚拟网络变得非常复杂,在一个主机系统里面,需要实现诸如交换、路由、隧道、隔离、聚合等多种网络功能。 而实现这些功能的基本元素就是虚拟的网络设备,比如 tap、tun 和 veth-pair。 tap/tun tap/tun 提供了一台主机内用户空间的数
解决:Linux 设备 eth0 似乎不存在, 初始化操作将被延迟 故障随记
weixin_33858249的博客
11-10 953
故障环境: esxi 虚拟化 上面建立了redhat 6.5 模板 把该模板部署成虚拟机之后 打开终端 重启网络服务 发现:Linux 设备 eth0 似乎不存在, 初始化操作将被延迟 ifconfig 查看发现也没有eth0网卡,eth0的网络配置文件是有的百度了一下:清空/删除 /etc/udev/rules.d/70-persistent-net.ru...
Linux内核级Rootkit检测与防护策略:技术解析与实施方案
针对Linux内核级Rootkit(恶意软件的一种,通过侵入系统底层,隐藏自身并篡改关键组件来逃避检测)的问题,本文由电子科技大学硕士研究生龚友撰写,旨在深入研究Linux下内核级Rootkit的检测和防护机制。 首先,论文...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值