內(nèi)核系統(tǒng)調(diào)用劫持檢測(cè)

瀚海書香

hacker在攻擊linux系統(tǒng)后，經(jīng)常會(huì)修改系統(tǒng)調(diào)用，來實(shí)現(xiàn)特殊的目的。比如隱藏文件、隱藏進(jìn)程、改變可執(zhí)行程序運(yùn)行等等。
一起討論一下，如何判斷和檢測(cè)linux系統(tǒng)調(diào)用被劫持？

瀚海書香

回復(fù) 1# 瀚海書香
我這里先拋磚一下啊

系統(tǒng)調(diào)用劫持的方法有很多種，對(duì)于修改sys_call_table的情況，可以通過比對(duì)System.map與被檢測(cè)系統(tǒng)的sys_call_table[__NR_*]進(jìn)行比較。
對(duì)于獲取系統(tǒng)調(diào)用地址的方法，最好是以內(nèi)核模塊的方式獲取。因?yàn)橥ㄟ^應(yīng)用層來獲取的話，可能你所使用來獲取sys_call_table[__NR_*]的系統(tǒng)調(diào)用已經(jīng)被修改了。


   

hejianet

不太懂這個(gè)哦，版主說的2種情況是不是對(duì)應(yīng)1.修改sys_call_table的地址 2.中斷描述符的中斷處理函數(shù)system_call的地址？
http://wenku.baidu.com/view/8c1f847831b765ce0508140a.html 這里有篇論文
但是我有個(gè)疑問啊，劫持需要編譯并insmod一個(gè)模塊吧？這難道不需要root權(quán)限么？反過來說我都有root權(quán)限了，還有什么不能干，何必劫持呢

十年夢(mèng)生

回復(fù) 3# hejianet

    在內(nèi)存里修改了sys_call_table中系統(tǒng)函數(shù)的調(diào)用地址，當(dāng)系統(tǒng)調(diào)用這些函數(shù)的時(shí)候就會(huì)被劫持。網(wǎng)上有篇關(guān)于用gdb檢測(cè)rootkit的文章  建議樓主看看
http://www.soft6.com/tech/16/165054.html

   

十年夢(mèng)生

回復(fù) 1# 瀚海書香


    我來問個(gè)問題啊   我如果將/proc/kcore鏡像一份，使用gdb之類的工具可以調(diào)試并與System.map中的調(diào)用地址進(jìn)行對(duì)比發(fā)現(xiàn)劫持。能不能通過程序來自動(dòng)化這個(gè)過程呢 ，對(duì)于/proc/kcore的鏡像文件我不知道如何來處理。


在網(wǎng)上看到/proc/kcore是一個(gè)core文件，內(nèi)容為內(nèi)存的全鏡像，在kcore中添加了一個(gè)大小為52字節(jié)的elf文件頭，那kcore的容量為物理內(nèi)存容量+52字節(jié)。
但是我測(cè)試的時(shí)候發(fā)現(xiàn)1G內(nèi)存的機(jī)器的/proc/kcore鏡像為1020M，求解釋。。。

瀚海書香

回復(fù) 5# 十年夢(mèng)生

使用gdb之類的工具可以調(diào)試并與System.map中的調(diào)用地址進(jìn)行對(duì)比發(fā)現(xiàn)劫持。能不能通過程序來自動(dòng)化這個(gè)過程呢 ，對(duì)于/proc/kcore的鏡像文件我不知道如何來處理。

其實(shí)老的內(nèi)核里面是提供函數(shù)獲取syscall，query_module。
比對(duì)system.map和syscall，可以通過shell腳本實(shí)現(xiàn)。
   

十年夢(mèng)生

回復(fù) 6# 瀚海書香


    能不能給說的再詳細(xì)點(diǎn)

瀚海書香

回復(fù) 7# 十年夢(mèng)生
1. 獲取system.map中的系統(tǒng)調(diào)用函數(shù)地址
2. 通過內(nèi)核模塊獲取現(xiàn)有系統(tǒng)調(diào)用函數(shù)地址
3.比較上面兩個(gè)值是否相同。


這種方法對(duì)于在直接原地地址修改系統(tǒng)調(diào)用函數(shù)的hack無法檢測(cè)。（比如jmp等）

   

十年夢(mèng)生

回復(fù) 8# 瀚海書香
soga  明白鳥  多謝


   

hejianet

回復(fù) 8# 瀚海書香

同樣的問題，改內(nèi)核代碼段難道不需要root么？