亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

<ruby id="ik8fm"></ruby>

<cite id="ik8fm"></cite>

<track id="ik8fm"><nobr id="ik8fm"></nobr></track>

<del id="ik8fm"><b id="ik8fm"><table id="ik8fm"></table></b></del>

<code id="ik8fm"></code>

Chinaunix

標(biāo)題: ways to find 2.6 kernel rootkits - [轉(zhuǎn)貼自CLF，作者：coolq] [打印本頁(yè)]

---

作者: leviathan.alan    時(shí)間: 2006-06-20 09:38
標(biāo)題: ways to find 2.6 kernel rootkits - [轉(zhuǎn)貼自CLF，作者：coolq]
|=------------------=[ ways to find 2.6 kernel rootkits ]=------------------=|

|=--------------------------------------------------------------------------=|

|=-----------------=[ CoolQ <qufuping@ercist.iscas.ac.cn> ]=----------------=|

|=--------------------------------------------------------------------------=|



--[ 內(nèi)容



    0 - 前言



    1 - Kernel Rootkit的分類

        1.1 系統(tǒng)調(diào)用相關(guān)

        1.2 異常相關(guān)

        1.3 內(nèi)核靜態(tài)補(bǔ)丁

        1.4 處理指針相關(guān)



    2 - vmlinux/vmlinuz布局



    3 - 對(duì)策

        3.1 總述

        3.2 系統(tǒng)調(diào)用相關(guān)

        3.3 異常相關(guān)

        3.4 內(nèi)核靜態(tài)補(bǔ)丁

        3.5 處理指針相關(guān)



    4 - 需要注意的問(wèn)題

        4.1 SMP和CPU優(yōu)化帶來(lái)的麻煩

        4.2 2.4內(nèi)核的差異

        4.3 Fedora Core 2的4G補(bǔ)丁



    5 - 總結(jié)



    6 - 參考



    7 - 程序

        7.1 dump.c(kernel module)

        7.2 rkchecker.c(usermode app)



--[ 0 - 前言



內(nèi)核Rootkit由于隱蔽性好,逐漸成為了木馬的主流. 目前內(nèi)核木馬的檢測(cè)工具,有kstat,

chkrooktit, rkhunter 等等。這些工具或多或少都需要對(duì)System.map的支持，而且往往

只能對(duì)付某種類型的內(nèi)核木馬，能不能找一些比較通用的方法，對(duì)付大部分的內(nèi)核木馬，

并且盡量少的利用系統(tǒng)文件呢(例如不使用System.map)?

在現(xiàn)實(shí)的生活中，被入侵的主機(jī)往往沒(méi)有做太多的防衛(wèi)措施，因此，你或許沒(méi)有用St.

Michael確保內(nèi)核沒(méi)被修改，你也可能事先沒(méi)有將正常的系統(tǒng)調(diào)用表保存下來(lái)，事后沒(méi)有

比較的標(biāo)準(zhǔn)，這樣我們是不是就無(wú)能為力了呢?

本文試圖找到一種方法，利用磁盤上的內(nèi)核文件，對(duì)內(nèi)存中的內(nèi)核進(jìn)行驗(yàn)證，查找內(nèi)核

木馬的蛛絲馬跡。主要針對(duì)的是Linux 2.6內(nèi)核，實(shí)驗(yàn)環(huán)境是Redhat Fedora Core 2，

內(nèi)核為2.6.8.1/2.6.5-1.358(4G patch, redhat custom). 至于2.4內(nèi)核，有一定的差異,

但是思想還是不變的。

---

作者: leviathan.alan    時(shí)間: 2006-06-20 09:39
--[ 1 - Kernel Rootkit的分類



首先了解一下內(nèi)核木馬的種類，大體上分為四種



--[ 1.1 系統(tǒng)調(diào)用相關(guān)

在2.2，2.4內(nèi)核，這種方法是最多的，2.6內(nèi)核，由于取消了對(duì)syscall_table符號(hào)的輸出,

這種方法的使用用了一定的限制,但是仍然可以通過(guò)[1]的方法獲得系統(tǒng)調(diào)用表的位置。

攻擊者可以從5個(gè)位置做手腳，后面還會(huì)詳細(xì)介紹。



--[ 1.2 異常相關(guān)

這種方法比較獨(dú)特，在[2]中提出，利用了Linux獨(dú)特的異常處理機(jī)制，修改了__ex_table

中的內(nèi)容，目前很少有工具對(duì)這種方法進(jìn)行檢查。



--[ 1.3 內(nèi)核靜態(tài)補(bǔ)丁

這種方法在[3]中由jbtzhm提出，主要的思想是將一個(gè)模塊靜態(tài)附著在啟動(dòng)文件的后面，然

后修改系統(tǒng)調(diào)用，使得程序有機(jī)會(huì)執(zhí)行，對(duì)付這種方法，主要是對(duì)文件進(jìn)行完整性檢測(cè)，

前題是要有內(nèi)核文件的校驗(yàn)值。



--[ 1.4 處理指針相關(guān)

這種方法目標(biāo)廣泛，各種處理函數(shù)的指針都可能成為對(duì)象，例如binfmt的處理函數(shù)、vfs

的處理函數(shù)，TCP/IP協(xié)議棧的處理函數(shù)……，攻擊者在修改這些函數(shù)時(shí)，需要能夠得到

這些函數(shù)指針的符號(hào)：要么是內(nèi)核導(dǎo)出的，要么需要借助System.map文件。對(duì)這種方法的

檢測(cè)，往往也要借助System.map。



對(duì)于內(nèi)核木馬的介紹，GIAC上有一篇寫的非常好的Assignment[4],大家可以看看.



--[ 2 - vmlinux/vmlinuz布局



自己編譯過(guò)Linux內(nèi)核的人應(yīng)該都知道這兩個(gè)文件,[3]中分析了vmlinuz的結(jié)構(gòu)，這里再

簡(jiǎn)單回顧一下。



vmlinux是ELF格式的內(nèi)核文件，主要用于調(diào)試，而vmlinuz是將vmlinux中Section為A的

內(nèi)容保存下來(lái)，去除了ELF文件頭、Section Header、不必要的Section，并用Gzip壓縮，

在最前面附加了一個(gè)裝載和解壓的頭。



     vmlinus.lds.S              拷貝必須的節(jié),壓縮并加頭

*.o -----------------> vmlinux --------------------------->vmlinuz

vmlinuz: [bootsect][setup][[head][misc][compressed_kernel]]



下面再來(lái)看看vmlinux的ELF結(jié)構(gòu)，我們先看一下生成vmlinux的連接腳本

13 SECTIONS

14 {

15   . = __PAGE_OFFSET + 0x100000;

16   /* read-only */

17   _text = .;                    /* Text and read-only data */

18   .text : {

19         *(.text)

20         SCHED_TEXT

21         LOCK_TEXT

22         *(.fixup)

23         *(.gnu.warning)

24         } = 0x9090

25

26   _etext = .;                   /* End of text section */

27

28   . = ALIGN(16);                /* Exception table */

29   __start___ex_table = .;

30   __ex_table : { *(__ex_table) }

31   __stop___ex_table = .;

32

33   RODATA

34

35   /* writeable */

36   .data : {                     /* Data */

37         *(.data)

38         CONSTRUCTORS

39         }

40

41   . = ALIGN(4096);



# readelf -S vmlinux (感謝Madsys提供)

Section Headers:

[Nr] Name              Type            Addr     Off    Size   ES Flg Lk Inf Al

[ 0]                   NULL            00000000 000000 000000 00      0   0  0

[ 1] .text             PROGBITS        c0100000 001000 31c1e9 00  AX  0   0 4096

[ 2] __ex_table        PROGBITS        c041c1f0 31d1f0 001188 00   A  0   0  4

[ 3] .rodata           PROGBITS        c041d380 31e380 03c6d9 00   A  0   0 32

[ 4] .pci_fixup        PROGBITS        c0459a5c 35aa5c 000398 00  WA  0   0  4

  ...

[10] __param           PROGBITS        c0469e2c 36ae2c 0005dc 00   A  0   0  4

[11] .data             PROGBITS        c046b000 36c000 08886c 00  WA  0   0 4096

  ...

[16] .init.text        PROGBITS        c04fb000 3fc000 01fd1a 00  AX  0   0 64

  ...

[23] .altinstr_replace PROGBITS        c05237eb 4247eb 00087f 00  AX  0   0  1

[24] .exit.text        PROGBITS        c0524080 425080 001595 00  AX  0   0 64

[25] .init.ramfs       PROGBITS        c0526000 427000 000086 00   A  0   0  1

[26] .bss              NOBITS          c0527000 428000 02f4dc 00  WA  0   0 4096

  ...



根據(jù)上邊的連接腳本和對(duì)vmlinux的格式分析，我們發(fā)現(xiàn)，vmlinux中的.text是多個(gè).o

文件中.text、.sched.text、.lock.text、.fixup、.gnu.warning的綜合，接下來(lái)就是

__ex_table節(jié)，這個(gè)節(jié)其實(shí)是一個(gè)表，表中的元素是多個(gè)異常指針對(duì)。每對(duì)指針中，第

一個(gè)指針是有可能發(fā)生異常的地址，第二個(gè)指針是發(fā)生異常時(shí)，處理程序的地址。有關(guān)

__ex_table的分析，請(qǐng)參考[5]

至于其它的可執(zhí)行節(jié),例如.init.text、.exit.text，在系統(tǒng)啟動(dòng)后可能用作它用，一般

不會(huì)成為內(nèi)核木馬的目標(biāo)，我們這里就不分析了。

---

作者: leviathan.alan    時(shí)間: 2006-06-20 09:41
--[ 3 - 對(duì)策



--[ 3.1 總述



內(nèi)核木馬主要的目的，就是偷偷的執(zhí)行自己的程序，因此就需要在不同的地方hook正常的

系統(tǒng)執(zhí)行，將程序流導(dǎo)向自己。那么內(nèi)核木馬自己的程序會(huì)放在什么位置呢？如果內(nèi)核木

馬是以模塊形式裝載，那么程序應(yīng)該位于vmalloc的范圍，如果是jbtzhm的內(nèi)核靜態(tài)補(bǔ)丁，

程序會(huì)附加在.bss之后，可見(jiàn)，內(nèi)核木馬不太可能對(duì)vmlinz/vmlinux的.text進(jìn)行傷筋動(dòng)

骨的修改，充其量就是在.text程序的入口處跳轉(zhuǎn)出來(lái)而已，否則修改的代碼大小不好控

制,很容易破壞其它部分的代碼. 因此我們只要確定.text的起始范圍，并能保證.text

部分的代碼沒(méi)有受到破壞，調(diào)用.text的部分沒(méi)有修改，那么，內(nèi)核基本上就是安全的。



如果沒(méi)有System.map,我們?nèi)绾闻卸?text的范圍呢？(有的System.map，也沒(méi)有_text和

_etext符號(hào)，例如Redhat FC2的System.map)。讓我們一步一步來(lái):



o 預(yù)處理

  Step1:打開內(nèi)核的啟動(dòng)文件，例如/boot/vmlinuz-2.6.8.1

  Step2:獲取該文件中Gzip Magic Number的起始位置

  Step3:從該起始位置開始，將剩余的內(nèi)容保存為kernel.gz

  Step4:用gzip -d解壓為kernel文件



o 利用模式匹配尋找_etext，__stop___ex_table

根據(jù)上邊的連接腳本,我們可以發(fā)現(xiàn),.text是純代碼，中間可能有個(gè)數(shù)不定的0x90，接下

來(lái)一個(gè)ALIGN(16)對(duì)齊之后，就是__ex_table，而__ex_table中全是指向.text的函數(shù)指針

，我們先來(lái)看一下__ex_table有什么規(guī)律:

# hexdump -C -s 0x31d1f0 -n 500 vmlinux-2.6.10

0031d1f0  c7 11 10 c0 ca 11 10 c0  b9 1a 10 c0 57 af 41 c0  |............W.A.|

0031d200  bc 1a 10 c0 60 af 41 c0  fa 1f 10 c0 69 af 41 c0  |....`.A.....i.A.|

0031d210  c2 27 10 c0 73 af 41 c0  d1 27 10 c0 7f af 41 c0  |.'..s.A..'....A.|

0031d220  dd 27 10 c0 8b af 41 c0  e3 27 10 c0 97 af 41 c0  |.'....A..'....A.|

0031d230  3e 28 10 c0 a3 af 41 c0  49 28 10 c0 ad af 41 c0  |>(....A.I(....A.|

0031d240  62 28 10 c0 b7 af 41 c0  6a 28 10 c0 c1 af 41 c0  |b(....A.j(....A.|

0031d250  d1 28 10 c0 cb af 41 c0  da 28 10 c0 d8 af 41 c0  |.(....A..(....A.|

0031d260  df 28 10 c0 e1 af 41 c0  e9 28 10 c0 ee af 41 c0  |.(....A..(....A.|

0031d270  ee 28 10 c0 f7 af 41 c0  fc 28 10 c0 04 b0 41 c0  |.(....A..(....A.|

0031d280  0a 29 10 c0 11 b0 41 c0  14 29 10 c0 1d b0 41 c0  |.)....A..)....A.|

0031d290  1e 29 10 c0 29 b0 41 c0  28 29 10 c0 35 b0 41 c0  |.)..).A.()..5.A.|

0031d2a0  32 29 10 c0 41 b0 41 c0  3b 29 10 c0 4d b0 41 c0  |2)..A.A.;)..M.A.|

0031d2b0  45 29 10 c0 59 b0 41 c0                           |E)..Y.A.|

0031d2b8

由于指針是指向_text到_etext之間的地址，而.text的大小一般都小于0x800000(8M),因此

指針的第一個(gè)字節(jié)總是等于0xc0(PAGE_OFFSET + 0x100000的第一個(gè)字節(jié))，根據(jù)這一特性

我們就能很容易的找到.text的結(jié)尾_etext。

那么__ex_table的結(jié)尾__stop___ex_table又該怎么找呢？

注意到.rodata的對(duì)齊32，以及.rodata的內(nèi)容

# hexdump -C -s 0x31e380 -n 50 vmlinux-2.6.10

0031e380  10 00 00 00 11 00 00 00  12 00 00 00 00 00 00 00  |................|

0031e390  08 00 00 00 07 00 00 00  09 00 00 00 06 00 00 00  |................|

0031e3a0  0a 00 00 00 05 00 00 00                           |........|

0031e3a8

我們只需要從_etext 16字節(jié)對(duì)齊后的地址，開始查找每一個(gè)整型，如果該整數(shù)的第一字

節(jié)不是PAGE_OFFSET + 0x100000的第一個(gè)字節(jié)，該地址就是__stop___ex_table.

具體的步驟是:

  Step1:打開剛才生成的kernel文件

  Step2:從開頭按順序往后查找0xc0(標(biāo)準(zhǔn)內(nèi)核，0xc0代表(PAGE_OFFSET+0x100000)>>24)

        開頭的整數(shù)，如果連續(xù)若干個(gè)(例如100個(gè))整數(shù)都滿足條件，那么第一個(gè)整數(shù)的

        地址就是_etext對(duì)齊后的結(jié)果(需要加上PAGE_OFFSET+0x100000, 即_text)

  Step3:繼續(xù)想后查找第一個(gè)字節(jié)不是0xc0的整數(shù)，該整數(shù)的地址就是__stop___ex_table

        地址。對(duì)齊后就是.rodata的地址(需要加上PAGE_OFFSET+0x100000, 即_text)



既然已經(jīng)找到了_etext和__stop___ex_table，我們來(lái)分情況討論。



--[ 3.2 系統(tǒng)調(diào)用相關(guān)



前面說(shuō)到，基于系統(tǒng)調(diào)用的木馬，有5處可以做手腳，分別代表了系統(tǒng)調(diào)用執(zhí)行的每一個(gè)

階段，分別是：idtr, 0x80的中斷門system_call, system_call中調(diào)用的sys_call_table

地址，sys_call_table中每一個(gè)函數(shù)指針，每一個(gè)系統(tǒng)調(diào)用函數(shù)的內(nèi)部代碼。2.2/2.4的

內(nèi)核，最常見(jiàn)的目標(biāo)就是sys_call_table中的函數(shù)指針。為了躲避注入kstat的檢測(cè)，攻

擊者有可打其它的四個(gè)地方的主意(例如將system_call中的sys_call_table指向別的位

置，并在該位置放置一份系統(tǒng)調(diào)用表的拷貝)。



采取的對(duì)策如下：

  Step 1: 確定_etext的值.

  Step 2: 將內(nèi)存中_text到_etext的內(nèi)容與vmlinuz解壓的kernel文件進(jìn)行逐字節(jié)的比較

          ，以確定內(nèi)存中的.text沒(méi)有發(fā)生改變，如有不同，說(shuō)明有內(nèi)核木馬。

  Step 3: 從idtr開始，利用[1]中的方法，獲得sys_call_table的指針列表

  Step 4: 對(duì)每一個(gè)指針，判斷該指針是        否指向_text至_etext之間，如果不是，說(shuō)

          明有內(nèi)核木馬



--[ 3.3 異常相關(guān)



這種木馬，實(shí)際上就是修改了__ex_table中的指針對(duì)，我們只需要將磁盤上的__ex_table

與內(nèi)存中的__ex_table想比較就可以了：

  Step1: 確定_etext和__stop___ex_table的值

  Step2: 將內(nèi)存中_etext到__stop___ex_table的值進(jìn)行逐字節(jié)比較，如果有不同，說(shuō)明

         有內(nèi)核木馬

注意，在查找__stop___ex_table的時(shí)候，正常的__ex_table應(yīng)該是0xC0XXYYZZ,..,0,..,

T,....。其中0只是為了對(duì)齊而出現(xiàn)的，如果不滿足這個(gè)條件，十有八九是有此種類型的

木馬，而且還使用了靜態(tài)補(bǔ)丁(雖然目前還沒(méi)見(jiàn)到過(guò)這種情況)。



--[ 3.4 內(nèi)核靜態(tài)補(bǔ)丁



這種情況比較棘手，因?yàn)榇疟P上的vmlinuz就不可信，但即使使用這個(gè)不可信的文件，我

們也能找出一部分方法。jbtzhm將某些系統(tǒng)調(diào)用表的入口修改，使的一開始調(diào)用的是木馬

程序，我們只要將整個(gè)的.text反匯編，看是否有調(diào)用.text之外的情況(當(dāng)然這個(gè)范圍最

好越靠后越好, 如果是指向內(nèi)核bss之后，就屬于這種情況)。至于其它的代碼段，例如

.init.text，應(yīng)該不受影響，因?yàn)檫@些程序段不是顯式調(diào)用的。

當(dāng)然更好的方法是直接檢查vmlinuz的校驗(yàn)和。當(dāng)然如果你使用的是分發(fā)版的內(nèi)核，可靠

的vmlinuz文件還是很容易得到的。



--[ 3.5 處理指針相關(guān)



這種情況是最麻煩的，因?yàn)樾枰�考慮的種類特別多，而且都是非常specific的，不過(guò)有

一點(diǎn)，攻擊者如果想要修改某個(gè)處理函數(shù)指針，他必須能夠解析該符號(hào)，一般是內(nèi)核導(dǎo)出

或者從System.map中查找。這樣我們可以有針對(duì)性的檢查某些特定的處理函數(shù)，看這些函

數(shù)指針是不是指向_text到_etext。當(dāng)然，這個(gè)時(shí)候還得考慮模塊的.text，我們可以遍歷

模塊列表，獲得每個(gè)模塊的module_core和core_text_size。如果函數(shù)指針不屬于這些范

圍，那你就要小心了，可能有隱藏的模塊了。

[ 本帖最后由 leviathan.alan 于 2006-6-20 09:45 編輯 ]

---

作者: leviathan.alan    時(shí)間: 2006-06-20 09:42
--[ 4 - 需要注意的問(wèn)題



--[ 4.1 SMP和CPU優(yōu)化帶來(lái)的麻煩



對(duì)于vmlinuz和內(nèi)存中的.text進(jìn)行逐字節(jié)比較，如果你的內(nèi)核有SMP，或者使用了CPU的某

些優(yōu)化(默認(rèn)情況下有很多)，即使內(nèi)核是沒(méi)有問(wèn)題的，也會(huì)有內(nèi)容不相同的情況!



先來(lái)看對(duì)SMP的支持，注意以下這個(gè)宏

#define wmb() alternative("lock; addl $0,0(%%esp)", "sfence", X86_FEATURE_XMM)

經(jīng)測(cè)試，這一語(yǔ)句裝載到內(nèi)存中，內(nèi)容會(huì)發(fā)生改變，具體的原因還不得而知

0xf0 0x83 0x44 0x24 0x00 -> 0x0f 0xae (0xe8|0xf0) 0x8d 0x76

如果有誰(shuí)知道原因,請(qǐng)mail我。



另外，CPU優(yōu)化，也造成磁盤和內(nèi)存中的內(nèi)容不一致

一個(gè)例子就是list_for_each_entry調(diào)用的prefetch()

634 extern inline void prefetch(const void *x)

635 {

636         alternative_input(ASM_NOP4,

637                           "prefetchnta (%1)",

638                           X86_FEATURE_XMM,

639                           "r" (x));

640 }



#define GENERIC_NOP4        ".byte 0x8d,0x74,0x26,0x00\n"

#define K8_NOP4 ".byte 0x66,0x66,0x66,0x90\n"

#define K7_NOP4 ".byte 0x8d,0x44,0x20,0x00\n"



#ifdef CONFIG_MK8

#define ASM_NOP4 K8_NOP4

#elif defined(CONFIG_MK7)

#define ASM_NOP4 K7_NOP4

#else

#define ASM_NOP4 GENERIC_NOP4

出現(xiàn)不一致的情況就是上邊的幾種NOP4, 由于我對(duì)這一塊不熟悉,不知有誰(shuí)能指點(diǎn)一二?



--[ 4.2 2.4內(nèi)核的差異



2.4與2.6相比，__ex_table的位置靠后了

17   _etext = .;                   /* End of text section */

18

19   .rodata : { *(.rodata) *(.rodata.*) }

20   .kstrtab : { *(.kstrtab) }

21

22   . = ALIGN(16);                /* Exception table */

23   __start___ex_table = .;

24   __ex_table : { *(__ex_table) }

25   __stop___ex_table = .;

由于.rodata和.kstrtab都不會(huì)發(fā)生變化，因此，不影響本文的方法。



--[ 4.3 Fedora Core 2的4G補(bǔ)丁



Redhat的內(nèi)核改動(dòng)的地方很多，比較討厭，4G補(bǔ)丁就是其中之一，這里需要注意的是，

打了4G補(bǔ)丁的內(nèi)核，PAGE_OFFSET已經(jīng)不是0xc000000，而是0x02000000,內(nèi)核有自己?jiǎn)?br />
獨(dú)的4G空間了。

另外的一個(gè)影響是__ex_table中的異常處理指針，有一些發(fā)生異常的地方，指針是以

0xffff開頭的,估計(jì)4G在處理異常的時(shí)候,有些特別的地方.

00181000  60 41 10 02 63 41 10 02  30 48 10 02 40 f3 27 02  |`A..cA..0H..@.'.|

00181010  33 48 10 02 49 f3 27 02  35 55 10 02 52 f3 27 02  |3H..I.'.5U..R.'.|

00181020  41 55 10 02 5b f3 27 02  66 32 ff ff 64 f3 27 02  |AU..[.'.f2..d.'.|

                                   <--------->

00181030  67 32 ff ff 70 f3 27 02  6b 32 ff ff 7c f3 27 02  |g2..p.'.k2..|.'.|

          <--------->              <--------->

00181040  73 32 ff ff 8d f3 27 02  74 32 ff ff 99 f3 27 02  |s2....'.t2....'.|

          <--------->              <--------->

00181050  78 32 ff ff a5 f3 27 02  92 62 10 02 b6 f3 27 02  |x2....'..b....'.

          <--------->



--[ 5 - 總結(jié)



本文介紹的方法,對(duì)于檢查基于系統(tǒng)調(diào)用和異常表的木馬是非常有效的,對(duì)于內(nèi)核靜態(tài)補(bǔ)丁,

也是管用的. 對(duì)于處理函數(shù)指針的情況,思想適用,但是需要對(duì)每種情況寫一種擴(kuò)展(利用

符號(hào)，判斷函數(shù)指針是否在正常的.text范圍內(nèi)，包括內(nèi)核與模塊的.text)。

本文的方法，對(duì)于一種非常簡(jiǎn)單的靜態(tài)補(bǔ)丁，是無(wú)效的: 木馬將磁盤vmlinuz中的指令

修改，例如簡(jiǎn)單的將jz->jnz, jne->je。但如果系統(tǒng)使用的是發(fā)行版帶的標(biāo)準(zhǔn)內(nèi)核，我們

就能保證vmlinuz的完整性(很容易找到)。





--[ 6 - 參考



[1] Linux on-the-fly kernel patching without LKM

     <http://www.phrack.org/phrack/58/p58-0x07>

[2] Hijacking Linux Page Fault Handler

     <http://www.phrack.org/show.php?p=61&a=7>

[3] Static Kernel Patching

     <http://www.phrack.org/show.php?p=60&a=8>

[4] Linux kernel rootkits: protecting system's "Ring-zero"

     <http://www.giac.org/practical/GCUX/Raul_Siles_GCUX.pdf>

[5] 利用異常表處理 Linux 內(nèi)核態(tài)缺頁(yè)異常

     <http://www-900.ibm.com/developer ... /l-page/index.shtml>

[6] linux kernel source code

     <http://www.kernel.org>

[7] Intel用戶手冊(cè)

---

作者: leviathan.alan    時(shí)間: 2006-06-20 09:43
--[ 7 - 程序



下面的程序只考慮的前面的兩種情況, 至于后面的兩種, 由于比較特殊, 需要根據(jù)自己的

需要,自己添加功能,當(dāng)然思想前面已經(jīng)陳述,很簡(jiǎn)單.


--[ 7.1 dump.c(kernel module)

1. 
   
2. 
   
3. #include <linux/init.h>
   
4. 
   
5. #include <linux/module.h>
   
6. 
   
7. #include <linux/kernel.h>
   
8. 
   
9. #include <linux/fs.h>
   
10. 
    
11. #include <linux/file.h>
    
12. 
    
13. #include <linux/moduleparam.h>
    
14. 
    
15. #include <asm/page.h>
    
16. 
    
17. #include <asm/uaccess.h>
    
18. 
    
19. #include <asm/string.h>
    
20. 
    
21. #include <asm/unistd.h>
    
22. 
    
23. 
    
24. 
    
25. #define EOF             (-1)
    
26. 
    
27. #define SEEK_SET        0
    
28. 
    
29. #define SEEK_CUR        1
    
30. 
    
31. #define SEEK_END        2
    
32. 
    
33. 
    
34. 
    
35. struct {
    
36. 
    
37.         unsigned short         limit;
    
38. 
    
39.         unsigned int           base;
    
40. 
    
41. } __attribute__ ((packed)) idtr;
    
42. 
    
43. 
    
44. 
    
45. struct {
    
46. 
    
47.         unsigned short         off1;
    
48. 
    
49.         unsigned short         sel;
    
50. 
    
51.         unsigned char          none,flags;
    
52. 
    
53.         unsigned short         off2;
    
54. 
    
55. } __attribute__ ((packed)) idt;
    
56. 
    
57. 
    
58. 
    
59. static unsigned int len = 0x800000;
    
60. 
    
61. module_param(len, uint, 0);
    
62. 
    
63. static char buffer[256];
    
64. 
    
65. 
    
66. 
    
67. struct file *klib_fopen(const char *filename, int flags, int mode);
    
68. 
    
69. void klib_fclose(struct file *filp);
    
70. 
    
71. int klib_fwrite(char *buf, int len, struct file *filp);
    
72. 
    
73. void *memmem(void *start, unsigned int s_len, void *find, unsigned int f_len);
    
74. 
    
75. 
    
76. 
    
77. struct file *klib_fopen(const char *filename, int flags, int mode)
    
78. 
    
79. {
    
80. 
    
81.         struct file *filp = filp_open(filename, flags, mode);
    
82. 
    
83.         return (IS_ERR(filp)) ? NULL : filp;
    
84. 
    
85. }
    
86. 
    
87. 
    
88. 
    
89. void klib_fclose(struct file *filp)
    
90. 
    
91. {
    
92. 
    
93.         if (filp)
    
94. 
    
95.                 fput(filp);
    
96. 
    
97. }
    
98. 
    
99. 
    
100. 
     
101. int klib_fwrite(char *buf, int len, struct file *filp)
     
102. 
     
103. 
     
104. 
     
105. {
     
106. 
     
107. 
     
108. 
     
109.         int writelen;
     
110. 
     
111.         mm_segment_t oldfs;
     
112. 
     
113. 
     
114. 
     
115.         if (filp == NULL)
     
116. 
     
117.                 return -ENOENT;
     
118. 
     
119.         if (filp->f_op->write == NULL)
     
120. 
     
121.                 return -ENOSYS;
     
122. 
     
123.         if (((filp->f_flags & O_ACCMODE) & (O_WRONLY | O_RDWR)) == 0)
     
124. 
     
125.                 return -EACCES;
     
126. 
     
127.         oldfs = get_fs();
     
128. 
     
129.         set_fs(KERNEL_DS);
     
130. 
     
131.         writelen = filp->f_op->write(filp, buf, len, &filp->f_pos);
     
132. 
     
133.         set_fs(oldfs);
     
134. 
     
135. 
     
136. 
     
137.         return writelen;
     
138. 
     
139. 
     
140. 
     
141. }
     
142. 
     
143. 
     
144. 
     
145. void *memmem(void *start, unsigned int s_len, void *find, unsigned int f_len)
     
146. 
     
147. {
     
148. 
     
149.         char                *p, *q;
     
150. 
     
151.         unsigned int        len;
     
152. 
     
153.         
     
154.         p = start, q = find;
     
155. 
     
156.         len = 0;
     
157. 
     
158.         while((p - (char *)start + f_len) <= s_len){
     
159. 
     
160.                 while(*p++ == *q++){
     
161. 
     
162.                         len++;
     
163. 
     
164.                         if(len == f_len)
     
165. 
     
166.                                 return(p - f_len);
     
167. 
     
168.                 };
     
169. 
     
170.                 q = find;
     
171. 
     
172.                 len = 0;
     
173. 
     
174.         };
     
175. 
     
176.         
     
177.         return(NULL);
     
178. 
     
179. }
     
180. 
     
181. 
     
182. 
     
183. static int dump_init(void)
     
184. 
     
185. {
     
186. 
     
187.         unsigned int        addr_start = PAGE_OFFSET + 0x100000;
     
188. 
     
189.         struct file         *filep;
     
190. 
     
191.         unsigned int        sys_call_off, sct;
     
192. 
     
193.         char                *p;
     
194. 
     
195. 
     
196. 
     
197.         /* Step 1: dump kernel memory */
     
198. 
     
199.         filep = klib_fopen("./kernel.dat", O_WRONLY | O_CREAT | O_TRUNC,
     
200. 
     
201.                                 S_IRUSR | S_IWUSR | S_IRGRP | S_IROTH);
     
202. 
     
203.         if(filep == NULL){
     
204. 
     
205.                 printk("Error create kernel.dat.\n");
     
206. 
     
207.                 return 0;
     
208. 
     
209.         }
     
210. 
     
211.         
     
212.         klib_fwrite((char*)addr_start, len, filep);
     
213. 
     
214.         klib_fclose(filep);
     
215. 
     
216.         printk("dump file to ./kernel.dat - OK.\n");
     
217. 
     
218. 
     
219. 
     
220.         /* Step 2: Get syscall info */
     
221. 
     
222.         filep = klib_fopen("./kernel.info", O_WRONLY | O_CREAT | O_TRUNC,
     
223. 
     
224.                                 S_IRUSR | S_IWUSR | S_IRGRP | S_IROTH);
     
225. 
     
226.         
     
227.         if(filep == NULL){
     
228. 
     
229.                 printk("Error create kernel.info.\n");
     
230. 
     
231.                 return 0;
     
232. 
     
233.         }
     
234. 
     
235.         
     
236.         
     
237.         __asm__ ("sidt %0" : "=m" (idtr));
     
238. 
     
239. //        printk("idtr base at 0x%X\n",(int)idtr.base);
     
240. 
     
241. 
     
242. 
     
243.         memcpy(&idt,(void*)(idtr.base+8*0x80),sizeof(idt));
     
244. 
     
245.         sys_call_off = (idt.off2 << 16) | idt.off1;
     
246. 
     
247. 
     
248. 
     
249. //        printk("sys_call_off is at 0x%x\n", sys_call_off);
     
250. 
     
251.         p = (char*)memmem ((void *)sys_call_off, 100, "\xff\x14\x85", 3);
     
252. 
     
253.         
     
254.         if(p){
     
255. 
     
256.                 sct = *(unsigned*)(p+3);
     
257. 
     
258. //                printk("syscall table at addr 0x%x, rel off 0x%x\n",
     
259. 
     
260. //                        sct, sct - (unsigned int)addr_start);
     
261. 
     
262.         }else
     
263. 
     
264.                 ;
     
265. 
     
266. //                printk("syscall table not find?\n");
     
267. 
     
268.         
     
269.         sprintf(buffer, ".text = 0x%x\n"
     
270. 
     
271.                         "idtr = 0x%x\n"
     
272. 
     
273.                         "sys_call_off = 0x%x\n"
     
274. 
     
275.                         "sys_call_table = 0x%x\n"
     
276. 
     
277.                         "sys_call_nr = %d\n",
     
278. 
     
279.                         addr_start, idtr.base, sys_call_off,
     
280. 
     
281.                         p ? sct : 0, NR_syscalls);
     
282. 
     
283.         
     
284.         klib_fwrite(buffer, strlen(buffer), filep);
     
285. 
     
286.         klib_fclose(filep);
     
287. 
     
288. 
     
289. 
     
290.         return 0;
     
291. 
     
292. 
     
293. 
     
294. }
     
295. 
     
296. 
     
297. 
     
298. 
     
299. 
     
300. static void dump_exit(void)
     
301. 
     
302. {
     
303. 
     
304. 
     
305. 
     
306.         return;
     
307. 
     
308. }
     
309. 
     
310. 
     
311. 
     
312. module_init(dump_init);
     
313. 
     
314. module_exit(dump_exit);
     
315. 
     
316. 
     
317. 
     
318. MODULE_LICENSE("GPL");
     

復(fù)制代碼

---

作者: leviathan.alan    時(shí)間: 2006-06-20 09:44
--[ 7.2 rkchecker.c(usermode app)

1. 
   
2. 
   
3. 
   
4. /*
   
5. 
   
6. * Name: rkchecker.c
   
7. 
   
8. * Author: CoolQ
   
9. 
   
10. * License: GPL
    
11. 
    
12. * Intro: try to find some kernel rootkits
    
13. 
    
14. * Usage: # insmod dump.ko
    
15. 
    
16. *        # cat kernel.info
    
17. 
    
18. *        .text = 0xc0100000
    
19. 
    
20. *        idtr = 0xaaaaaaaa
    
21. 
    
22. *        sys_call_off = 0xbbbbbbbb
    
23. 
    
24. *        sys_call_table = 0xcccccccc
    
25. 
    
26. *        sys_call_nr = dd
    
27. 
    
28. *        # ./rkchecker -m ./kernel.dat -d /boot/vmlinuz -s 0xcccccccc -n dd
    
29. 
    
30. *        if you use 4G/4G patch, use
    
31. 
    
32. *        # ./rkchecker -4 -m ./kernel.dat -d /boot/vmlinuz -s 0xcccccccc -n dd
    
33. 
    
34. */
    
35. 
    
36. 
    
37. 
    
38. 
    
39. 
    
40. #include <stdio.h>
    
41. 
    
42. #include <stdlib.h>
    
43. 
    
44. #include <unistd.h>
    
45. 
    
46. #include <fcntl.h>
    
47. 
    
48. #include <string.h>
    
49. 
    
50. #include <getopt.h>
    
51. 
    
52. #include <sys/mman.h>
    
53. 
    
54. #include <sys/types.h>
    
55. 
    
56. #include <sys/stat.h>
    
57. 
    
58. 
    
59. 
    
60. #define KERNEL_DISC_FILE        "/boot/vmlinuz"
    
61. 
    
62. #define KERNEL_TMP_GZ_FILE      "/tmp/kernel.gz"
    
63. 
    
64. #define KERNEL_TMP_FILE         "/tmp/kernel"
    
65. 
    
66. #define KERNEL_DUMP_FILE        "./kernel.dat"
    
67. 
    
68. 
    
69. 
    
70. #define MAGIC_GZ                0x00088b1f
    
71. 
    
72. #define TEXT_START              0xc0100000
    
73. 
    
74. #define TEXT_START_4G           0x02100000
    
75. 
    
76. #define THRESHOLD               100
    
77. 
    
78. #define SYS_CALL_NR             240
    
79. 
    
80. 
    
81. 
    
82. #define ERROR(str)                \
    
83. 
    
84.         do{                       \
    
85. 
    
86.                 perror(str);      \
    
87. 
    
88.                 return -1;        \
    
89. 
    
90.         }while(0)               
    
91. 
    
92. 
    
93. 
    
94. int extract_file(const char *file);
    
95. 
    
96. unsigned int find_text_end(const char *file);
    
97. 
    
98. int check(const char *file_mem, const char *file_store, unsigned int offset);
    
99. 
    
100. int check_text(void *start_mem, void *start_store, unsigned int len);
     
101. 
     
102. int check_exceptiontbl(void *start_mem, void *start_store);
     
103. 
     
104. int check_syscalltbl(void *start_mem, unsigned int sys_call_off,
     
105. 
     
106.                      unsigned int nr);
     
107. 
     
108. void usage(const char *prog);
     
109. 
     
110. 
     
111. 
     
112. static char                *g_krnl_mem = KERNEL_DUMP_FILE;
     
113. 
     
114. static char                *g_krnl_store = KERNEL_DISC_FILE;
     
115. 
     
116. static int                 g_threshold = THRESHOLD;
     
117. 
     
118. static unsigned int        g_text_start = TEXT_START;
     
119. 
     
120. static unsigned int        g_sys_call_off;
     
121. 
     
122. static unsigned int        g_sys_call_nr = SYS_CALL_NR;
     
123. 
     
124. static unsigned int        g_text_end_off;
     
125. 
     
126. 
     
127. 
     
128. int main(int argc, char *argv[])
     
129. 
     
130. {
     
131. 
     
132.         int                 ret;
     
133. 
     
134.         char                *tmp;
     
135. 
     
136. 
     
137. 
     
138.         if(argc < 4)
     
139. 
     
140.                 usage(argv[0]);
     
141. 
     
142.         
     
143.         while((ret = getopt(argc, argv, "m:d:t:s:n:4")) != -1){
     
144. 
     
145.                 switch(ret){
     
146. 
     
147.                         case 'm':
     
148. 
     
149.                                 g_krnl_mem = strdup(optarg);
     
150. 
     
151.                                 break;
     
152. 
     
153.                         case 'd':
     
154. 
     
155.                                 g_krnl_store = strdup(optarg);
     
156. 
     
157.                                 break;
     
158. 
     
159.                         case 't':
     
160. 
     
161.                                 g_threshold = atoi(optarg);
     
162. 
     
163.                                 break;
     
164. 
     
165.                         case 's':
     
166. 
     
167.                                 g_sys_call_off = strtoul(optarg, &tmp, 16) - g_text_start;
     
168. 
     
169.                                 break;
     
170. 
     
171.                         case '4':
     
172. 
     
173.                                 g_text_start = TEXT_START_4G;
     
174. 
     
175.                                 break;
     
176. 
     
177.                         case 'n':
     
178. 
     
179.                                 g_sys_call_nr = atoi(optarg);
     
180. 
     
181.                                 break;
     
182. 
     
183.                         default:
     
184. 
     
185.                                 usage(argv[0]);
     
186. 
     
187.                                 break;
     
188. 
     
189.                 }
     
190. 
     
191.         };
     
192. 
     
193.                
     
194.         ret = extract_file(g_krnl_store);
     
195. 
     
196.         if(ret == -1)
     
197. 
     
198.                 exit(EXIT_FAILURE);
     
199. 
     
200.         
     
201.         unlink(KERNEL_TMP_FILE);
     
202. 
     
203.         ret = system("gzip -d " KERNEL_TMP_GZ_FILE);
     
204. 
     
205.         if(ret == -1)
     
206. 
     
207.                 ERROR("ungzip error.\n");
     
208. 
     
209. 
     
210. 
     
211.         g_text_end_off = find_text_end(KERNEL_TMP_FILE);
     
212. 
     
213.         printf("[i] .text end at 0x%x\n", g_text_end_off);
     
214. 
     
215. 
     
216. 
     
217.         ret = check(KERNEL_TMP_FILE, g_krnl_mem, g_text_end_off);
     
218. 
     
219.         if(ret == -1){
     
220. 
     
221.                 fprintf(stdout, "! your kernel maybe hacked.\n");
     
222. 
     
223.                 return -1;
     
224. 
     
225.         }
     
226. 
     
227.         
     
228.         unlink(KERNEL_TMP_FILE);
     
229. 
     
230.         return 0;
     
231. 
     
232. }
     
233. 
     
234. int extract_file(const char *file)
     
235. 
     
236. {
     
237. 
     
238.         struct stat        st;
     
239. 
     
240.         int                fd_read, fd_write;
     
241. 
     
242.         int                mag = MAGIC_GZ;
     
243. 
     
244.         int                len_gz;
     
245. 
     
246.         char               *addr_read, *addr_write, *addr_gz;
     
247. 
     
248. 
     
249. 
     
250.         if(stat(file, &st) == -1)
     
251. 
     
252.                 ERROR("stat error.\n");
     
253. 
     
254.         
     
255.         fd_read = open(file, O_RDONLY);
     
256. 
     
257.         fd_write = open(KERNEL_TMP_GZ_FILE, O_RDWR | O_TRUNC | O_CREAT,
     
258. 
     
259.                         S_IRWXU | S_IRGRP | S_IROTH);
     
260. 
     
261.         if(fd_read == -1 || fd_write == -1)
     
262. 
     
263.                 ERROR("open error.\n");
     
264. 
     
265. 
     
266. 
     
267.         addr_read = mmap(0, st.st_size, PROT_READ, MAP_SHARED, fd_read, 0);
     
268. 
     
269.         if(addr_read == MAP_FAILED)
     
270. 
     
271.                 ERROR("map failed.\n");
     
272. 
     
273.         
     
274.         addr_gz = memmem(addr_read, st.st_size, &mag, 4);
     
275. 
     
276.         if(addr_gz == NULL)
     
277. 
     
278.                 ERROR("not a bzImage\n");
     
279. 
     
280. 
     
281. 
     
282.         len_gz = st.st_size - (int)(addr_gz - addr_read);
     
283. 
     
284.         
     
285.         if(lseek(fd_write, (off_t)(len_gz - 1), SEEK_SET) == (off_t)-1)
     
286. 
     
287.                 ERROR("lseek error.\n");
     
288. 
     
289.         write(fd_write, "a", 1);
     
290. 
     
291.         
     
292.         addr_write = mmap(0, len_gz, PROT_WRITE, MAP_SHARED, fd_write, 0);
     
293. 
     
294.         if(addr_write == MAP_FAILED)
     
295. 
     
296.                 ERROR("map failed.\n");
     
297. 
     
298. 
     
299. 
     
300.         memcpy(addr_write, addr_gz, len_gz);
     
301. 
     
302.         
     
303.         munmap(addr_read, st.st_size);
     
304. 
     
305.         munmap(addr_write, len_gz);
     
306. 
     
307.         close(fd_read);
     
308. 
     
309.         close(fd_write);
     
310. 
     
311.         
     
312.         return 0;
     
313. 
     
314. }
     
315. 
     
316. unsigned int find_text_end(const char *file)
     
317. 
     
318. {
     
319. 
     
320.         int                fd, count;
     
321. 
     
322.         struct stat        st;
     
323. 
     
324.         void               *addr;
     
325. 
     
326.         unsigned int       *p, *tmp;
     
327. 
     
328.         
     
329.         stat(file, &st);
     
330. 
     
331.         
     
332.         fd = open(file, O_RDONLY);
     
333. 
     
334.         if(fd == -1)
     
335. 
     
336.                 ERROR("open error.\n");
     
337. 
     
338.         
     
339.         addr = mmap(0, st.st_size, PROT_READ, MAP_SHARED, fd, 0);
     
340. 
     
341.         if(addr == MAP_FAILED)
     
342. 
     
343.                 ERROR("map error.\n");
     
344. 
     
345. 
     
346. 
     
347.         p = addr;
     
348. 
     
349.         while((char *)p - (char *)addr < st.st_size){
     
350. 
     
351.                 if((*p >> 24) == (g_text_start >> 24)){
     
352. 
     
353.                         tmp = p;
     
354. 
     
355.                         for(count = 0; count < g_threshold; count++, p++)
     
356. 
     
357.                                 if((*p >> 24) != (g_text_start >> 24) &&
     
358. 
     
359.                                    !((*p >> 16) == 0xffff &&
     
360. 
     
361.                                      (g_text_start >> 24)==(TEXT_START_4G >>24)
     
362. 
     
363.                                     )
     
364. 
     
365.                                   )
     
366. 
     
367.                                         break;
     
368. 
     
369.                 }else
     
370. 
     
371.                         p++;
     
372. 
     
373.                 if(count == g_threshold){
     
374. 
     
375.                         munmap(addr, st.st_size);
     
376. 
     
377.                         close(fd);
     
378. 
     
379.                         return((char *)tmp - (char *)addr);
     
380. 
     
381.                 }
     
382. 
     
383.         }
     
384. 
     
385.         munmap(addr, st.st_size);
     
386. 
     
387.         close(fd);
     
388. 
     
389.         return 0;
     
390. 
     
391. }
     
392. 
     
393. int check(const char *file_mem, const char *file_store, unsigned int offset)
     
394. 
     
395. {
     
396. 
     
397. 
     
398. 
     
399.         int                ret, ret2, ret3;
     
400. 
     
401.         int                fd_mem, fd_store;
     
402. 
     
403.         void               *addr_mem, *addr_store;
     
404. 
     
405.         struct stat        st_mem, st_store;
     
406. 
     
407. 
     
408. 
     
409.         ret = 0;
     
410. 
     
411.         
     
412.         ret = stat(file_mem, &st_mem);
     
413. 
     
414.         ret |= stat(file_store, &st_store);
     
415. 
     
416.         if(ret)
     
417. 
     
418.                 ERROR("stat error.\n");
     
419. 
     
420.         
     
421.         fd_mem = open(file_mem, O_RDONLY);
     
422. 
     
423.         fd_store = open(file_store, O_RDONLY);
     
424. 
     
425.         if(fd_mem == -1 || fd_store == -1)
     
426. 
     
427.                 ERROR("open file error.\n");
     
428. 
     
429. 
     
430. 
     
431.         addr_mem = mmap(0, st_mem.st_size, PROT_READ, MAP_SHARED, fd_mem, 0);
     
432. 
     
433.         addr_store = mmap(0, st_store.st_size, PROT_READ, MAP_SHARED,
     
434. 
     
435.                         fd_store, 0);
     
436. 
     
437.         if(addr_mem == MAP_FAILED || addr_store == MAP_FAILED)
     
438. 
     
439.                 ERROR("mmap error.\n");
     
440. 
     
441. 
     
442. 
     
443.         ret = check_text(addr_mem, addr_store, offset);
     
444. 
     
445.         if(!ret)
     
446. 
     
447.                 fprintf(stdout, "   - .text check passed.\n");
     
448. 
     
449. 
     
450. 
     
451.         ret2 = check_exceptiontbl(addr_mem + offset, addr_store + offset);
     
452. 
     
453.         if(!ret2)
     
454. 
     
455.                 fprintf(stdout, "   - exception table check passed.\n");
     
456. 
     
457. 
     
458. 
     
459.         ret3 = check_syscalltbl(addr_mem, g_sys_call_off, g_sys_call_nr);
     
460. 
     
461.         if(!ret3)
     
462. 
     
463.                 fprintf(stdout, "   - sys_call_table check passed.\n");
     
464. 
     
465.         
     
466.         munmap(addr_mem, st_mem.st_size);
     
467. 
     
468.         munmap(addr_store, st_store.st_size);
     
469. 
     
470.         close(fd_mem);
     
471. 
     
472.         close(fd_store);
     
473. 
     
474.         
     
475.         return(ret | ret2 | ret3);
     
476. 
     
477. }
     
478. 
     
479. int check_text(void *start_mem, void *start_store, unsigned int len)
     
480. 
     
481. {
     
482. 
     
483.         unsigned char      *p_mem, *p_store;
     
484. 
     
485.         int                count, ret;
     
486. 
     
487.         
     
488.         fprintf(stdout, "[+] Start checking .text section.\n");
     
489. 
     
490.         ret = 0;
     
491. 
     
492.         
     
493.         for(        p_mem = start_mem, p_store = start_store, count = 0;
     
494. 
     
495.                 count < 10000 && ((char *)p_mem - (char *)start_mem) < len;
     
496. 
     
497.                 p_mem++, p_store++
     
498. 
     
499.         )
     
500. 
     
501.                 if(*p_mem != *p_store){
     
502. 
     
503.                         if(*p_mem == 0xf0 && *p_store == 0x0f){
     
504. 
     
505.                                 if(        *(p_mem + 1) == 0x83 &&
     
506.                                         *(p_store + 1) == 0xae &&
     
507. 
     
508.                                         *(p_mem + 2) == 0x44 &&
     
509. 
     
510.                                         (*(p_store + 2) == 0xe8 ||
     
511. 
     
512.                                          *(p_store + 2) == 0xf0) &&
     
513. 
     
514.                                         *(p_mem + 3) == 0x24 &&
     
515. 
     
516.                                         *(p_store + 3) == 0x8d &&
     
517. 
     
518.                                         *(p_mem + 4) == 0x00 &&
     
519. 
     
520.                                         *(p_store + 4) == 0x76
     
521. 
     
522.                                 ){
     
523. 
     
524.                                         p_mem += 5;
     
525. 
     
526.                                         p_store += 5;
     
527. 
     
528.                                         continue;
     
529. 
     
530.                                 }
     
531. 
     
532.                         }else if(*p_mem == 0x8d && *p_store == 0x0f){
     
533. 
     
534.                                 if(        (*(p_mem + 1) == 0x74 &&
     
535. 
     
536.                                          *(p_store + 1) == 0x18 &&
     
537. 
     
538.                                          *(p_mem + 2) == 0x26 &&
     
539. 
     
540.                                          /* *(p_store + 2) == 0x01 && */
     
541. 
     
542.                                          *(p_mem + 3) == 0x00 /* &&
     
543. 
     
544.                                          *(p_store + 3) == 0x90*/) ||
     
545. 
     
546.                                         (*(p_mem + 1) == 0x44 &&
     
547. 
     
548.                                          /* *(p_store + 1) == 0x18 && */
     
549. 
     
550.                                          *(p_mem + 2) == 0x20 &&
     
551. 
     
552.                                          /* *(p_store + 2) == 0x08 && */
     
553. 
     
554.                                          *(p_mem + 3) == 0x00 &&
     
555. 
     
556.                                          *(p_store + 3) == 0x90)
     
557. 
     
558.                                 ){
     
559. 
     
560.                                         p_mem += 4;
     
561. 
     
562.                                         p_store += 4;
     
563. 
     
564.                                         continue;
     
565. 
     
566.                                 }
     
567. 
     
568.                         }else if(*p_mem == 0x66 /*&& *p_store == 0x0f*/){
     
569. 
     
570.                                 if(        (*(p_mem + 1) == 0x66 &&
     
571. 
     
572.                                          /**(p_store + 1) == 0x18 &&*/
     
573. 
     
574.                                          *(p_mem + 2) == 0x66 &&
     
575. 
     
576.                                          /**(p_store + 2) == 0x01 &&*/
     
577. 
     
578.                                          *(p_mem + 3) == 0x90 /* &&
     
579. 
     
580.                                          *(p_store + 3) == 0x90)*/ )
     
581. 
     
582.                                 ){
     
583. 
     
584.                                         p_mem += 4;
     
585. 
     
586.                                         p_store += 4;
     
587. 
     
588.                                         continue;
     
589. 
     
590.                                 }
     
591. 
     
592.                         }
     
593. 
     
594.                         ret = -1;
     
595. 
     
596.                         count++;
     
597. 
     
598.                         fprintf(stdout, "mismatch no. %d at offset 0x%x",
     
599. 
     
600.                                 count, (char *)p_mem - (char *)start_mem);
     
601. 
     
602.                         fprintf(stdout, "\tstore = %02X, mem=%02X\n",
     
603. 
     
604.                                 *p_mem, *p_store);
     
605. 
     
606.                 }
     
607. 
     
608.                
     
609.         return ret;
     
610. 
     
611. }
     
612. 
     
613. int check_exceptiontbl(void *start_mem, void *start_store)
     
614. 
     
615. {
     
616. 
     
617.         unsigned int       *p_mem, *p_store;
     
618. 
     
619.         int                ret;
     
620. 
     
621.         
     
622.         
     
623.         ret = 0;
     
624. 
     
625. 
     
626. 
     
627.         fprintf(stdout, "[+] Start checking exception table.\n");
     
628. 
     
629.         if(((int)start_mem & 0x0000000f) != 0x0)
     
630. 
     
631.                 fprintf(stdout, "   - the offset is weird, not aligned.\n");
     
632. 
     
633.         
     
634.         for(        p_mem = start_mem, p_store = start_mem;
     
635. 
     
636.                         ((*p_store >> 24) == (g_text_start >> 24) ||
     
637. 
     
638.                          ((*p_store >> 16) == 0xffff &&
     
639.                           (g_text_start == TEXT_START_4G)
     
640. 
     
641.                          ));
     
642. 
     
643.                 p_mem++, p_store++
     
644. 
     
645.            )
     
646. 
     
647.                 if(*p_mem != *p_store){
     
648. 
     
649.                         fprintf(stdout, "   - suspect except handler at 0x%x",
     
650. 
     
651.                                         (unsigned int)p_mem);
     
652. 
     
653.                         ret = -1;
     
654. 
     
655.                 }
     
656. 
     
657.         
     
658.         if(((int)p_store & 0x0000000f) != 0x0)
     
659. 
     
660.                 if(*p_store != 0){
     
661. 
     
662.                         fprintf(stdout, "   - seems weired at 0x%x, "
     
663. 
     
664.                                 "kernel file unreliable.\n", p_store);
     
665. 
     
666.                         ret = -1;
     
667. 
     
668.                 }
     
669. 
     
670. 
     
671. 
     
672.         fprintf(stdout, "  [i] exception tabled end at __ex_table + 0x%x\n",
     
673. 
     
674.                         (unsigned int)((char *)p_mem - (char *)start_mem));
     
675. 
     
676.         return ret;
     
677. 
     
678. }
     
679. 
     
680. 
     
681. 
     
682. int check_syscalltbl(void *start_mem, unsigned int sys_call_off,
     
683. 
     
684.                      unsigned int nr)
     
685. 
     
686. {
     
687. 
     
688.         unsigned int       *p;
     
689. 
     
690.         int                i, ret;
     
691. 
     
692.         
     
693.         fprintf(stdout, "[+] Start checking sys_call_table.\n");
     
694. 
     
695.         fprintf(stdout, "  [i] checknig %d items.\n", nr);
     
696. 
     
697.         
     
698.         ret = 0;
     
699. 
     
700.         p = (int *)((char *)start_mem + sys_call_off);
     
701. 
     
702.                         
     
703.         for(i = 0; i < nr; i++, p++)
     
704. 
     
705.                 if(*p < g_text_start || *p > g_text_start + g_text_end_off){
     
706. 
     
707.                         fprintf(stdout, "   - sys_call no. %d suspicious."
     
708. 
     
709.                                         "point to value %x\n", i, *p);
     
710. 
     
711.                         ret = -1;
     
712. 
     
713.                 }
     
714. 
     
715.         
     
716.         return ret;
     
717. 
     
718. }
     
719. 
     
720. 
     
721. 
     
722. void usage(const char *prog)
     
723. 
     
724. {
     
725. 
     
726.         fprintf(stderr, "Usage: %s [-4] [-t num] [-n num] -m file_1 -d file_2"
     
727. 
     
728.                         "-s addr\n",
     
729. 
     
730.                         prog);
     
731. 
     
732.         fprintf(stderr, "Params:\n");
     
733. 
     
734.         fprintf(stderr, "   -4: The kernel uses 4G/4G patch.\n");
     
735. 
     
736.         fprintf(stderr, "   -t num: Set threshold to num.\n");
     
737. 
     
738.         fprintf(stderr, "   -n num: Set sys_call_numbers to num.\n");
     
739. 
     
740.         fprintf(stderr, "   -m file: Set memory dump file to file_1\n");
     
741. 
     
742.         fprintf(stderr, "   -d file: Set disc kernel file to file_2\n");
     
743. 
     
744.         fprintf(stderr, "   -s addr: Set the sys_call_table to addr\n");
     
745. 
     
746. 
     
747. 
     
748.         exit(EXIT_FAILURE);
     
749. 
     
750.         return;
     
751. 
     
752. }
     
753. 
     
754. 
     

復(fù)制代碼

---

歡迎光臨 Chinaunix (http://72891.cn/)

Powered by Discuz! X3.2

感谢您访问我们的网站，您可能还对以下资源感兴趣：

亚洲av成人无遮挡网站在线观看

<samp id="cmnne"></samp>