CRUX下实现进程隐藏(2)
前面我们介绍了如何修改/proc目录读取函数的方法实现进程隐藏。这篇博文将介绍另一种方法——
劫持系统调用实现进程隐藏。
其基本原理是:加载一个内核模块(LKM),通过劫持系统调用sys_getdents()来针对进程文件进行适当的过滤,从而达到隐藏进程文件的目的。
由于实验方法一时,已经修改过了proc_pid_readdir函数,这会影响方法二的实现,因此必须把方法一中所做的修改恢复。打开proc_pid_readdir所在的源文件fs/proc/base.c
在其中加入DEBUG_PROC,表示采用方法一,这里我注释掉了,表示这时使用方法二。
把该函数中对进程hide字段的判断加入宏定义中即可。之后重新编译内核,编译后执行测试程序,已经无法隐藏进程。
下面开始介绍第二种方法:
① 分析读取proc文件系统时所执行的系统调用:
在linux下,我们可以使用strace命令来跟踪一个用户程序在执行过程中所使用的系统调用。
在linux终端命令行输入:strace ps aux 2>out.txt
可以查询ps命令所执行的系统调用,结果如下:
......
open("/proc/meminfo", O_RDONLY) = 4
lseek(4, 0, SEEK_SET) = 0
read(4, "MemTotal: 495788 kB\nMemF"..., 2047) = 1114
stat("/proc/self/task", {st_mode=S_IFDIR|0555, st_size=0, ...}) = 0
openat(AT_FDCWD, "/proc", O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC) = 5
mmap(NULL, 135168, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f5330b72000
mmap(NULL, 135168, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f5330b51000
getdents(5, /* 140 entries */, 32768) = 3696
stat("/proc/1", {st_mode=S_IFDIR|0555, st_size=0, ...}) = 0
open("/proc/1/stat", O_RDONLY) = 6
read(6, "1 (init) S 0 1 1 0 -1 4202752 22"..., 4095) = 326
close(6)
......
其中,我们看到ps命令执行过程中调用了getdents这个函数,而ps命令正是使
用这个函数来读取/proc目录下的进程文件的。其对应的系统调用是sys_getdents(),其函数原型如下:
int sys_getdents(unsigned int fd, struct linux_dirent64 __user *dirp, unsigned int count)
其中,fd为指向目录文件的文件描述符,该函数根据fd所指向的目录文件读取相应dirent结构,并放入dirp中,其中count为dirp中返回的数据量,正确时该函数返回值为填充到dirp的字节数。
而我们要做的就是代替原先的系统调用,使用自己定义的系统调用hacked_getdents(),加上我们自己的判断语句就能实现对进程文件的过滤。Linux中,替换系统调用有两种方法:一是直接修改原先的系统调用;二是编写一个内核模块(LKM),通过获得系统调用表的地址来替换原先的系统调用。
因为前者需要重新编译内核,比较费时。内核模块是一些可以让操作系统内核在需要时载入和执行的代码,这同样意味着它可以在不需要时由操作系统卸载。它们扩展了操作系统内核的功能却不需要重新编译内核,因此内核模块机制的好处是:既避免了内核的臃肿不堪,又极大程度地提高了内核的可扩展性。所以这里我采用了内核模块的方法。
一个内核模块应该至少包含两个函数:初始化函数(init)和清理函数(cleanup)。初始函数负责完成一些初始化的工作,在内核模块被insmod装载时调用;而清理函数则负责干一些收尾清理的工作,在内核模块被rmmod卸载时被执行。
模块初始化流程如下:
模块清理流程如下:
③ 获得系统调用表地址
系统调用表(sys_call_table)是用来存放内核中各个系统调用处理函数入口地址的一个数组,因此只要获得系统调用表的地址,我们就可以修改系统调用函数,甚至替换原先的系统调用函数。在这一节,我们要做的事就是找到sys_getdents()的入口地址,并用hacked_getdents()的地址进行替换。
出于安全方面的考虑,Linux从2.4.18内核以后就不再导出系统调用表,因此要修改系统调用,必须从软件上获取系统调用表的地址。由于不同CPU架构的系统获取系统调用表的方式不一样,这里以我自己的系统(x86_64)为例,系统调用表地址获取流程如下:
说明:
a)由于内核的页标记为只读,尝试用函数去写这个区域的内存,会产生一个内核oops。这种保护可以很简单的被规避,可通过设置cr0寄存器的WP位为0,禁止写保护CPU。
b)Linux x86_64有两套调用模式:Long模式和兼容模式,分别对应有两套调用表:sys_call_table,ia32_sys_call_table。实验中采用Long模式的系统调用表。
使用grep命令从系统映射表中获取sys_call_table的地址,其中红框中标出的是系统调用表的地址,可以看到,系统调用表的地址是ffffffff81a00180。
c)Long方式使用syscall,MSR寄存器地址为0xc0000082,宏MSR_LSTAR来代表. 使用rdmsrl指令获取system_call的代码段起始地址,再通过system_call获取sys_call_table特征码。x86_64下获取sys_call_table与x86特征码不同,是"\xff\x14\xc5"。
④ 劫持系统调用
在获得系统调用表的地址后,我们就可以对原先的系统调用进行替换了。系统调用
sys_getdents()的入口地址保存在数组sys_call_table以__NR_getdents为偏移的位置上。我们定义一个函数指针orig_getdents,用于存放原始的sys_getdents()系统调用,其定义如下:
asmlinkage long (*orig_getdents)(unsigned int, struct linux_dirent64 __user *, unsigned int);
替换过程如下:
/* 保存原始系统调用 */ orig_getdents = sys_call_table[__NR_getdents]; /* 替换原始系统调用 */ sys_call_table[__NR_getdents] = hacked_getdents;
/* 恢复原始系统调用 */ sys_call_table[__NR_getdents] = orig_getdents ;
编写完内核模块后,建立Makefile:
接着编译、链接:
使用insmod hook.ko挂载模块,rmmod hook卸载模块
测试结果:
将写好的内核模块加载入内核,可以看到,内核模块获得的系统调用表地址与使用grep命令获得的系统调用表地址一致。
编译好内核模块后,运行我们的测试程序(测试程序与方法一所用相同),所得结果如下: