it外包公司什么意思,佛山债优化,建设网站一定要电脑吗,本地wordpress环境摘要#xff1a;本文深入分析了Linux环境下文件、进程及模块的高级隐藏技术#xff0c;其中包括#xff1a;Linux可卸载模块编程技术、修改内存映象直接对系统调用进行修改技术#xff0c;通过虚拟文件系统proc隐藏特定进程的技术。隐藏技术在计算机系统安全中应用十分广泛…摘要本文深入分析了Linux环境下文件、进程及模块的高级隐藏技术其中包括Linux可卸载模块编程技术、修改内存映象直接对系统调用进行修改技术通过虚拟文件系统proc隐藏特定进程的技术。隐藏技术在计算机系统安全中应用十分广泛尤其是在网络攻击中当攻击者成功侵入一个系统后有效隐藏攻击者的文件、进程及其加载的模块变得尤为重要。本文将讨论Linux系统中文件、进程及模块的高级隐藏技术这些技术有的已经被广泛应用到各种后门或安全检测程序之中而有一些则刚刚起步仍然处在讨论阶段应用很少。1.隐藏技术1.1.Linux下的中断控制及系统调用Intel x86系列微机支持256种中断为了使处理器比较容易地识别每种中断源把它们从0~256编号即赋予一个中断类型码n,Intel把它称作中断向量。Linux用一个中断向量(128或者0x80)来实现系统调用所有的系统调用都通过唯一的入口system_call来进入内核当用户动态进程执行一条int 0x80汇编指令时CPU就切换到内核态并开始执行system_call函数system_call函数再通过系统调用表sys_call_table来取得相应系统调用的地址进行执行。系统调用表sys_call_table中存放所有系统调用函数的地址每个地址可以用系统调用号来进行索引例如sys_call_table[NR_fork]索引到的就是系统调用sys_fork()的地址。Linux用中断描述符(8字节)来表示每个中断的相关信息其格式如下偏移量31….16 一些标志、类型码及保留位段选择符 偏移量15….0所有的中断描述符存放在一片连续的地址空间中这个连续的地址空间称作中断描述符表(IDT)其起始地址存放在中断描述符表寄存器(IDTR)中其格式如下32位基址值 界限其中各个结构的相应联系可以如下表示通过上面的说明可以得出通过IDTR寄存器来找到system_call函数地址的方法根据IDTR寄存器找到中断描述符表中断描述符表的第0x80项即是system_call函数的地址这个地址将在后面的讨论中应用到。1.2.Linux 的LKM(可装载内核模块)技术为了使内核保持较小的体积并能够方便的进行功能扩展Linux系统提供了模块机制。模块是内核的一部分但并没有被编译进内核它们被编译成目标文件在运行过程中根据需要动态的插入内核或者从内核中移除。由于模块在插入后是作为Linux内核的一部分来运行的所以模块编程实际上就是内核编程因此可以在模块中使用一些由内核导出的资源例如Linux2.4.18版以前的内核导出系统调用表(sys_call_table)的地址这样就可以根据该地址直接修改系统调用的入口从而改变系统调用。在模块编程中必须存在初始化函数及清除函数一般情况下这两个函数默认为init_module()以及clearup_module()从2.3.13内核版本开始用户也可以给这两个函数重新命名初始化函数在模块被插入系统时调用在其中可以进行一些函数及符号的注册工作清除函数则在模块移除系统时进行调用一些恢复工作通常在该函数中完成。1.3.Linux下的内存映像/dev/kmem是一个字符设备是计算机主存的映像通过它可以测试甚至修改系统当内核不导出sys_call_table地址或者不允许插入模块时可以通过该映像修改系统调用从而实现隐藏文件、进程或者模块的目的。1.4.proc 文件系统proc文件系统是一个虚拟的文件系统它通过文件系统的接口实现用于输出系统运行状态。它以文件系统的形式为操作系统本身和应用进程之间的通信提供了一个界面使应用程序能够安全、方便地获得系统当前的运行状况何内核的内部数据信息并可以修改某些系统的配置信息。由于proc以文件系统的接口实现因此可以象访问普通文件一样访问它但它只存在于内存之中。2.技术分析2.1 隐藏文件Linux系统中用来查询文件信息的系统调用是sys_getdents这一点可以通过strace来观察到例如strace ls 将列出命令ls用到的系统调用从中可以发现ls是通过sys_getedents来执行操作的。当查询文件或者目录的相关信息时Linux系统用sys_getedents来执行相应的查询操作并把得到的信息传递给用户空间运行的程序所以如果修改该系统调用去掉结果中与某些特定文件的相关信息那么所有利用该系统调用的程序将看不见该文件从而达到了隐藏的目的。首先介绍一下原来的系统调用其原型为int sys_getdents(unsigned int fd, struct dirent *dirp,unsigned int count)其中fd为指向目录文件的文件描述符该函数根据fd所指向的目录文件读取相应dirent结构并放入dirp中其中count为dirp中返回的数据量正确时该函数返回值为填充到dirp的字节数。下图是修改后的系统调用hacked_getdents执行流程。[IMG]/ShowImg.asp?p/2006-4-5/991518a108929.gif[/IMG]图 系统调用hacked_getdents执行流程图中的hacked_getdents函数实际上就是先调用原来的系统调用然后从得到的dirent结构中去除与特定文件名相关的文件信息从而应用程序从该系统调用返回后将看不到该文件的存在。应该注意的是一些较新的版本中是通过sys_getdents64来查询文件信息的但其实现原理与sys_getdents基本相同所以在这些版本中仍然可以用与上面类似的方法来修改该系统调用隐藏文件。2.2 隐藏模块上面分析了如何修改系统调用以隐藏特定名字的文件在实际的处理中经常会用模块来达到修改系统调用的目的但是当插入一个模块时若不采取任何隐藏措施很容易被对方发现一旦对方发现并卸载了所插入的模块那么所有利用该模块来隐藏的文件就暴露了所以应继续分析如何来隐藏特定名字的模块。Linux中用来查询模块信息的系统调用是sys_query_module所以可以通过修改该系统调用达到隐藏特定模块的目的。首先解释一下原来的系统调用原来系统调用的原型为int sys_query_module(const char *name, int which, void *buf, size_t bufsize , size_t *ret)如果参数name不空则访问特定的模块否则访问的是内核模块参数which说明查询的类型当whichQM_MODULES时返回所有当前已插入的模块名称存入buff, 并且在ret中存放模块的个数buffsize是buf缓冲区的大小。在模块隐藏的过程中只需要对whichQM_MODULES的情况进行处理就可以达到目的。修改后的系统调用工作过程如下1)调用原来的系统调用出错则返回错误代码2)如果which不等于QM_MODULES则不需要处理直接返回。3)从buf的开始位置进行处理如果存在特定的名字则将后面的模块名称向前覆盖该名字。4)重复3)直到处理处理完所有的名字正确返回。2.3 隐藏进程在Linux中不存在直接查询进程信息的系统调用类似于ps这样查询进程信息的命令是通过查询proc文件系统来实现的在背景知识中已经介绍过proc文件系统由于它应用文件系统的接口实现因此同样可以用隐藏文件的方法来隐藏proc文件系统中的文件只需要在上面的hacked_getdents中加入对于proc文件系统的判断即可。由于proc是特殊的文件系统只存在于内存之中不存在于任何实际设备之上所以Linux内核分配给它一个特定的主设备号0以及一个特定的次设备号1除此之外由于在外存上没有与之对应的i节点,所以系统也分配给它一个特殊的节点号PROC_ROOT_INO(值为1)而设备上的1号索引节点是保留不用的。通过上面的分析可以得出判断一个文件是否属于proc文件系统的方法1)得到该文件对应的inode结构dinode;2)if (dinode-i_ino PROC_ROOT_INO !MAJOR(dinode-i_dev) MINOR(dinode-i _dev) 1) {该文件属于proc文件系统}通过上面的分析给出隐藏特定进程的伪代码表示hacket_getdents(unsigned int fd, struct dirent *dirp, unsigned int count){调用原来的系统调用得到fd所对应的节点if(该文件属于proc文件系统该文件名需要隐藏){从dirp中去掉该文件相关信息}}2.4 修改系统调用的方法现在已经解决了如何修改系统调用来达到隐藏的目的那么如何用修改后的系统调用来替换原来的呢这个问题在实际应用中往往是最关键的下面将讨论在不同的情况下如何做到这一点。(1)当系统导出sys_call_table并且支持动态的插入模块的情况下在Linux内核2.4.18版以前这种内核配置是非常普遍的。这种情况下修改系统调用非常容易只需要修改相应的sys_call_table表项使其指向新的系统调用即可。下面是相应的代码int orig_getdents(unsigned int fd, struct dirent *dirp, unsigned int count)int init_module(void)/*初始化模块*/{orig_getdentssys_call_table[SYS_getdents]; //保存原来的系统调用orig_query_modulesys_call_table[SYS_query_module]sys_call_table[SYS_getdents]hacked_getdents; //设置新的系统调用sys_call_table[SYS_query_module]hacked_query_module;return 0; //返回0表示成功}void cleanup_module(void)/*卸载模块*/{sys_call_table[SYS_getdents]orig_getdents; //恢复原来的系统调用sys_call_table[SYS_query_module]orig_query_module;}(2)在系统并不导出sys_call_table的情况下linux内核在2.4.18以后为了安全起见不再导出sys_call_table符号从而无法直接获得系统调用表的地址那么就必须找到其他的办法来得到这个地址。在背景知识中提到了/dev/kmem是系统主存的映像可以通过查询该文件来找到sys_call_table的地址并对其进行修改来使用新的系统调用。那么如何在系统映像中找到sys_call_table的地址呢让我们先看看system_call的源代码是如何来实现系统调用的(代码见/arch/i386/kernel/entry.S)ENTRY(system_call)pushl %eax # save orig_eaxSAVE_ALLGET_CURRENT(%ebx)cmpl $(NR_syscalls),%eaxjae badsystestb $0x02,tsk_ptrace(%ebx) # PT_TRACESYSjne tracesyscall *SYMBOL_NAME(sys_call_table)(,%eax,4)movl %eax,EAX(%esp) # save the return valueENTRY(ret_from_sys_call)这段源代码首先保存相应的寄存器的值然后判断系统调用号(在eax寄存器中)是否合法,继而对设置调试的情况进行处理在所有这些进行完后利用call *SYMBOL_NAME(sys_call_table)(,%eax,4) 来转入相应的系统调用进行处理其中的SYMBOL_NAME(sys_call_table)得出的就是sys_call_table的地址。从上面的分析可以看出当找到system_call函数之后利用字符匹配来寻找相应call语句就可以确定sys_call_table的位置因为call something(,%eax,4)的机器指令码是0xff 0x14 0x85。所以匹配这个指令码就行了。至于如何确定system_call的地址在背景知识中已经介绍了下面给出相应的伪代码struct{ //各字段含义可以参考背景知识中关于IDTR寄存器的介绍unsigned short limit;unsigned int base;}__attribute__((packed))idtr;struct{ //各字段含义可以参考背景知识中关于中断描述符的介绍unsigned short off1;unsigned short sel;unsigned char none,flags;unsigned short off2;}__attribute__((packed))idt;int kmem;/ *下面函数用于从kemem对应的文件中偏移量为off处读取sz个字节至内存m处*/void readkmem(void *m,unsigned off,int sz) {………}/*下面函数用于从src读取count个字节至dest处*/void weitekmem(void *src,void *dest,unsigned int count) {………..}unsigned sct; //用来存放sys_call_table地址char buff[100]; //用于存放system_call函数的前100个字节。char *p;if((kmemopen(“/dev/kmem”,O_RDONLY))0)return 1;asm(“sidt %0” “:m” (idtr)); //读取idtr寄存器的值至idtr结构中readkmem(idt,idtr.base8*0x80,sizeof(idt)) //将0x80描述符读至idt结构中sys_ call_off(idt.off216)|idt.off1; //得到system_call函数的地址。readkmem(buff,sys_call_off,100) //读取system_call函数的前100字节至buffp(char *)memmem(buff,100,”xffx14x85”,3); //得到call语句对应机器码的地址sct(unsigned *)(p3) //得到sys_call_table的地址。至此已经得到了sys_call_table在内存中的位置这样在根据系统调用号就能够找到相应的系统调用对应的地址修改该地址就可以使用新的系统调函数具体的做法如下readkmem(orig_getdents,sct SYS_getdents*4,4)//保存原来的系统调用readkmem(orig_query_module,sctSYS_query_module*4,4);writekmem(hacked_getdents,sctSYS_getdents*4,4);//设置新的系统调用writekmem(hacket_query_module,sctSYS_query_module*4,4);2.5 其他的相关技术上面已经完全解决了隐藏的相关技术问题在实际应用中可以把启动模块或者进程的代码做成脚本加入到相应的启动目录中,假设你的Linux运行级别为3则可以加到目录rc3.d中(该目录常存在于/etc/rc.d或者/etc目录下)然后把该脚本的名字改为可以隐藏的名字。另一种方法就是在一些启动脚本中加入启动你的模块或者进程的代码但这样比较容易被发现一个解决思路就是进程或模块启动以后马上恢复正常的脚本由于系统关机时会向所有进程发送SIGHUP信号可以在进程或模块中处理该信号使该信号发生时修改启动脚本重新加入启动模块的代码这样当系统下次启动时又可以加载这个的模块了而且管理员察看启动脚本时也不会发现异常。3.结束语本文对Linux环境下的一些高级隐藏技术进行了分析研究其中所涉及的技术不仅可以用在系统安全方面在其他方面也有重要的借鉴意义。由于Linux的开放特性使得攻击者一旦获得了root权限就能够对系统进行较多的修改所以避免第一次被入侵是至关重要的。
