如何检测Linux内核的Rootkit

其他 2020-05-02 17:09:35 阅读次数: 0

最近一段时间搞了些Rootkit攻略,每个方法都比较彻底,无论是隐藏进程,还是隐藏CPU利用率,隐藏TCP连接,隐藏文件,甚至隐藏CPU风扇的狂转,均采用了相对底层的方案,一般的Rootkit检测很难检测到。

所谓的一般的Rootkit就是那些通常的hook,比方说hook系统调用,hook proc/sys接口,hook library等等,但是这些均是掩耳盗铃的鸵鸟策略,均不彻底。针对这些Rootkit,业内已经有很多的方法来检测:

  • 定期检测重要文件的校验码。
  • 检测text段内存。

然而我一一试了,检测不到我这些Rootkit。

最近很多朋友同事提醒我,为了不让这些方法诉诸恶意,我必须提供破解方案。

以下的代码可以检测我自己的Rootkit:

#include <linux/module.h>
#include <linux/kallsyms.h>

#define TEXT_SIZE	0xff0000

static int __init checker_init(void)
{
	s32 offset;
	int i = 0;
	unsigned char *pos;
	unsigned int *code;
	unsigned long *lcode, target;
	char *__text;// = 0xffffffff81000000;

	__text = (void *)kallsyms_lookup_name("_text");

	for (i = 0; i < TEXT_SIZE; i++) {
		pos = &__text[i];
		code = (unsigned int *)pos;
		// 0xe5894855 的含义就是 "push %rbp; mov %rsp,%rbp" 的字节码
		if (*code == 0xe5894855) {
			pos -= 5;
			lcode = (unsigned long *)pos;
			// 0x8948550000441f0f 的含义是 "nopl 0x0(%rax,%rax,1) [FTRACE NOP]" 的字节码
			if (*lcode != 0x8948550000441f0f && *pos == 0xe8) {
				offset = *(s32 *)&pos[1];
				target = (unsigned long)__text + i + offset;
				// 如果call指令的target越过了内核的text区域,则有被hook的可能
				if (target > (unsigned long)__text + TEXT_SIZE) {
					// 这里需要根据输出检测是不是“正规的kaptch”,若不是,则报告给经理!
					printk("## %llx  %llx   %x  %llx\n", *lcode, __text + i - 5, offset, target);
				}
			}
		}
	}

	return -1;
}

module_init(checker_init);
MODULE_LICENSE("GPL");

我加载了之前的那个隐藏进程和TCP连接(仅仅hook tcp的seq show函数的版本)的rootkit,然后加载我这个新模块,看看效果:

[ 2234.422336] ## 8948551f0650ebe8  ffffffff810b4f10   1f0650eb  ffffffffa011a000
[ 2234.422340] ## 8948551f06504be8  ffffffff810b4fb0   1f06504b  ffffffffa011a000
[ 2234.430383] ## 8948551eb9d16be8  ffffffff81585e90   1eb9d16b  ffffffffa0123000

我们看看这些地址意味着什么。

crash> dis ffffffff810b4f10 1
0xffffffff810b4f10 <account_user_time>: callq  0xffffffffa011a000
crash> dis ffffffff810b4fb0 1
0xffffffff810b4fb0 <account_system_time>:       callq  0xffffffffa011a000
crash> dis ffffffff81585e90 1
0xffffffff81585e90 <tcp4_seq_show>:     callq  0xffffffffa0123000

是不是一下子就查出来了呢!

总结下来就是:

  • 检测内核text段的所有call/jmp指令,只要target越过了text段范围,即有可能被hook了!

至于说如何扫描call/jmp指令,那就是另一个话题了。

背后的意思是, 一般而言,内核函数不会调用模块里的函数的。

再次提示,不要拿这些手艺去做不好的事情,不然经理会不高兴。

浙江温州皮鞋湿,下雨进水不会胖!

dog250 博客专家
原创文章 1603 获赞 5261 访问量 1129万+
关注 他的留言板

猜你喜欢

转载自blog.csdn.net/dog250/article/details/105465553
今日推荐
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
《2024 年一季度互联网投融资运行情况》研究报告
报告:Django 仍然是 74% 开发者的首选
周排行
laravle中orm简单的增删改查
文本分类 特征选取之CHI开方检验
Spark核心编程-WordCount
大数据开发实战系列之电信客服(1)
读书笔记 - 把时间当作朋友 by 李笑来
python 笔记--if else
SpringBoot/Mybatis/Druid, 多数据源MultiDataSource配置思路
排序三个整数
redis集群搭建【2】-Windows中Redis集群搭建
STM32F030驱动TM1650点亮4联数码管
每日归档
更多
2024-05-16(6)
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022