目标:hook几个Linux内核函数调用,如打开文件和启动进程,并利用它来启用系统活动监控并抢先阻止可疑进程。
一、方案比较
1. 使用Linux安全API
方法:内核代码的关键点包含安全函数调用,这些调用可能触发安全模块安装的回调,该模块可以分析特定操作的上下文,并决定是允许还是禁止它。
限制:安全模块无法动态加载,所以需要重新编译内核。
2. 修改系统调用表
方法:所有Linux系统调用处理程序都存储在sys_call_table表中,可以保存旧的处理程序值,并将自己的处理程序添加到表中,这样就能hook任何系统调用。
优点:一是能够完全控制所有系统调用;二是性能开销较小,包含更新系统调用表、监视、调用原始系统调用处理程序;三是通用性较好,不依赖内核版本。
缺点:一是实现较复杂,需查看系统调用表、绕过内存写保护、确保处理程序的安全性;二是有些处理程序无法替换,如有些优化要求在汇编中实现系统调用处理程序;三是只能hook系统调用,限制了入口点。
3.Kprobes
方法:可以为任何内核指令、函数入口和函数返回点安装处理程序,处理程序可以访问寄存器并更改它们。
优点:一是API很成熟;二是能跟踪内核中任意点,kprobes通过在内核代码中嵌入断点(int3指令)实现。跟踪函数内部的特定指令很有用。
缺点:一是技术复杂,若要获取函数参数或局部变量值,需知道堆栈具体位置及所在寄存器,并手动取出,若要阻止函数调用,还需手动修改进程状态;二是开销太大,超过了修改系统调用表的成本;三是禁用抢占,kprobes基于中断和故障,所以为了执行同步,所有处理程序需以禁用的抢占方式执行,导致的限制是,处理程序中不能等待、分配大量内存、处理输入输出、在信号量和计时器中休眠。
4.拼接
方法:将函数开头的指令替换为通向处理程序的无条件跳转,处理完成后再执行原始指令,再跳回截断函数前执行。类似于kprobes。
优点:一是不需要设置内核编译选项,可在任何函数开头实现;二是开销低,两次跳转即可返回到原始点。
缺点:技术复杂。
同步挂钩安装和删除(如果在更换指令期间调用了该函数)
使用可执行代码绕过内存区域的写保护
替换指令后使CPU缓存失效
拆卸已替换的指令,以便将它们作为一个整体进行复制
检查替换后的函数是否没有跳转
检查替换后的函数是否可以移动到其他位置
二、使用Ftrace hook函数