。

rootkit可以是用户级的#xff0c;也可以是内核级的。

关于rootk…博客已迁移至https://gls.show/

GitHub链接

或管理员权限后安装它从而隐藏入侵并保持root权限访问。

rootkit可以是用户级的也可以是内核级的。

关于rootkit的详细介绍可以参考https://en.wikipedia.org/wiki/rootkit

有许多技术可以实现rootkit本项目使用的是通过编写LKMLinux

kernel

module并hook系统调用表的方式。

这种方式具有诸多优点比如rootkit作为内核模块可以动态的加载和卸载大多数rootkit也都是通过LKM的方式实现的

LKM

module_exit(example_exit);在完成了对应Makefile的编写之后使用make命令可以编译出ko文件kernel

object使用insmod

rootkit可以卸载rootkit模块使用dmesg命令可以打印程序中printk的信息

hook系统调用

用户进程通过系统调用使用内核服务。

系统调用会进入内核让内核执行服务然后返回关于系统调用的更多信息可以使用man

syscall获取。

如下图所示hook可以劫持正常的系统调用让内核执行我们自行设计的函数从而实现我们自己想要的功能

比如当用户使用ls命令列出该目录下所有文件的时候本质上是使用了getdents64系统调用如果我们将getdents64的地址替换为我们自己构造的函数hook_getdents64

即可劫持系统调用流程。

因此只要我们分析清楚了某一个shell命令底层所执行的系统调用并成功对其进行hook那么就可以成功实现rootkit的种种目的

strace

total回到hook系统调用这个事情上来内核中有一张系统调用表存放了所有的系统调用的地址我们需要找到这张表的地址才能对系统调用“偷梁换柱”——将原本的syscall的地址替换为我们自己实现的syscall地址。

也可以将系统调用表看做是一个数组系统调用号为其索引不同的系统调用号对应着不同的系统调用。

需要小心的是相同的系统调用函数对于不同的架构调用号是不同的。

这个页面列出了

Linux

注意由于rootkit与系统内核版本是强相关的所以对于不同的内核查找系统调用表的方式也不同比如有的版本的内核无法使用kallsyms得到系统调用表地址那么就可以考虑使用ftrace

使用kallsyms

//函数声明real_sys_openat是真实的sys_openat函数

static

*);//函数声明,hook_sys_openat我们自己实现的sys_openat函数

asmlinkage

*)kallsyms_lookup_name(sys_call_table);//保存原来的kill函数的地址最后需要恢复原状

real_sys_openat

*)real_sys_call_table[__NR_openat];//

关闭写保护

disable_wp();//将真实的sys_openat函数地址映射到我们自己写的openat函数地址处偷梁换柱

real_sys_call_table[__NR_openat]

(void

orig_mkdir),HOOK(__x64_sys_getdents,

hook_getdents,

orig_getdents)};//在模块初始化时执行hook安装

ARRAY_SIZE(hooks));//在模块卸载化时执行hook卸载

ARRAY_SIZE(hooks));在某些内核版本中/proc/kallsyms文件存储了系统调用吧和系统调用的地址信息我们可以使用命令行获取

cat

堆栈上查找函数参数而不是寄存器。

众所周知用户态程序调用syscall的时候会下陷到内核态此时会保存

CPU

等。

因此从用户空间传递到内核空间的有关参数的信息都被保存在堆栈中这也即是使用asmlinkage的原因

对于新的系统调用存储在寄存器中的参数会先被复制到pt_regs结构体中因此当我们编写hook函数的时候需要先从这个结构体中获取对应的参数值

//函数声明,hook_sys_openat我们自己实现的sys_openat函数

asmlinkage

*);此外由于内核空间和用户空间是隔离的地址的映射并不互通因此需要使用copy_to_user和copy_from_user进行数据的传输

cred是一个记录进程credentials信息的结构体具体定义在cred.c头文件中

commit_creds()将这个cred应用于当前进程因此我们只需要对cred结构体进行修改即可实现提权

void

num的时候会将shell提权到root可以使用id命令验证这一点

asmlinkage

lsmod命令可以列出已安装的内核模块rmmod可以删除。

模块隐藏也即是让lsmod命令无法输出我们的模块

内核使用module结构体存储模块信息可以看到module封装了list双向链表下面的源码可以在module.h中找到

struct

}为了隐藏模块我们只需把对应rootkit模块的list从全局链表中删除即可。

内核已经替我们实现了list_del和list_add函数它们被封装在list.h头文件中我们调用即可。

在下面的代码中THIS_MODULE宏指向当前模块的module

struct

ls命令可以打印出文件为了深入研究ls做了什么可以使用strace命令进行追踪。

strace具有许多有趣的选项比如-c可以打印出统计表格

syscall实际上有些较新的内核版本仍然会调用getdents函数而不是较新的getdents64这个后面还会提到该函数可以得到目录的entry并返回读取的字节数。

我们可以通过对该函数进行hook从而达到隐藏文件的目的

下面是hook_getdents64函数的设计省略了一些报错处理和别的细节

static

*)regs-si;//遍历对希望隐藏的文件进行处理while

(tlen

(check_file(current_dir-d_name))//覆盖操作{ret

ret

current_dir-d_reclen);}//返回正常调用的结果return

}为了设计出上面的代码我们需要详细理解linux_dirent结构体和linux_dirent64结构体它们分别对应getdents函数和getdents64函数后者是为了处理更大的文件系统和偏移而设计的细节如下

struct

*/};对于getdents函数的hook与getdents64函数的hook有一些不同这里暂且略去

进程隐藏

linux内核维护了task_struct和pid两个链表分布记录了进程的task_struct结构和pid结构

遍历task_struct链表遍历/proc/pid中所有进程

task_struct

通过list_head将当前进程的task_struct串联进内核的进程列表中.....}struct

list_head

**pprev;//需要注意的是pprev是指针的指针,它指向的是前一个节点的next指针其中首元素的pprev指向链表头的fist字段末元素的next为NULL.

struct

find_vpid()//用于根据nr也就是namespace下的局部pid找到对应的struct

pid结构体

list_for_each_entry_safe()//相当于遍历整个双向循环链表,遍历时会存下下一个节点的数据结构,方便对当前项进行删除

//内存操作

kfree()//释放hide_node结构占用的内存自定义的数据结构

static

hide_list_headerLIST_HEAD_INIT(hide_list_header);

struct

recover_pid_all();//恢复所有进程大致的流程

hide_pid_fn(pid_t

pid_victim);根据pid用find_vpid()找到对应的pid结构体

成功找到pid结构体后利用pid_task()找到对应的task

struct

的结点利用hlist_del_rcu进行脱链INIT_HLIST_NODE设置其指针为空并将pprev指向自身。

此时进程已经成功摘除链表被隐藏但是需要记录对应结构方便之后恢复

用kmalloc申请一个hide_node类型结点的空间设置对应的pid号和task

struct指针并通过list_head将其增加到hide_list_header

链表上进行记录

pid_victim);通过list_for_each_entry_safe来遍历hide_list_header链表直到找到和pid对应的hide_node的进程。

然后利用hlist_add_head_rcu将pid链入对应的pid链表利用list_add_tail_rcu将task链入对应的task

struct链表

recover_pid_all(void);这里同样通过list_for_each_entry_safe来遍历hide_list_header链表针对其中的每一个隐藏的进程利用hlist_add_head_rcu将pid链入对应的pid链表利用list_add_tail_rcu将task链入对应的task

struct链表

端口隐藏即隐藏已经被使用的端口在linux中查看已经使用的端口有两个命令一个是netstat一个是ss两个命令调用的系统调用不同因此实际隐藏的过程也不同

netstat在读取端口信息时会读取以下四个文件对应的网络协议为tcp、udp、tcp6、udp6/proc/net/tcp、/proc/net/udp、/proc/net/tcp6/、/proc/net/udp6这几个文件都是序列文件即seq_fileseq_file定义的结构体如下

struct

};seq_operations的show函数即为netstat要输出的信息我们只需要将该函数的

hook掉在hook之前需要先保存show函数的地址对应的函数为set_seq_opeartions

void

open_path是打开的序列文件operations是要保存的show函数的真实地址我们在全局变量中声明了一个链表变量名为hidden_port_list_head它的作用为存储需要被隐藏的端口的信息当想隐藏端口时调用hide_connect函数它的定义为

void

port)其中type为网络类型(tcp/udp/tcp6/udp6)port为端口号该函数会将需要隐藏的端口添加到链表上。

node

向链表中添加节点list_add_tail(node-list,

hidden_port_list_head);当不想隐藏该端口时使用hide_unconnect函数将该节点从链表中删除

void

port){list_for_each_entry_safe(entry,

next_entry,

将要隐藏的节点从链表中删除kfree(entry);return;}}

首先要让定义的hook函数的参数与需要被hook的函数参数相同

int

udp6_seq_fun(seq,v);}show函数会将需要展示的端口信息放在seq-buf中而seq-count记录了buf的缓冲区长度代码的逻辑为判断新增的缓冲区的字符串是否和想要的隐藏的端口信息相同如下

对hidden_port_list_head遍历list_for_each_entry(node,

list){if

seq-buf为缓冲区,snprintf先按照缓冲区格式声明一个port_str_bufsnprintf(port_str_buf,

PORT_STR_LEN,

之后将缓冲区的新增字符串和port_str_buf进行对比判断是否要过滤端口if

(strnstr(seq-buf

1id[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pHc5LlWF-1677481929582)(https://raw.githubusercontent.com/LaPhilosophie/hello-rootkit/main/image/%E6%8F%90%E6%9D%83.png)]

模块隐藏与恢复

/dev/null[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-V9gONVmG-1677481746533)(https://raw.githubusercontent.com/LaPhilosophie/hello-rootkit/main/image/%E6%A8%A1%E5%9D%97%E9%9A%90%E8%97%8F%26%E6%81%A2%E5%A4%8D.png)]

进程隐藏与恢复

/dev/null[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sy4m1fCs-1677481746533)(https://raw.githubusercontent.com/LaPhilosophie/hello-rootkit/main/image/%E8%BF%9B%E7%A8%8B%E9%9A%90%E8%97%8F%26%E6%81%A2%E5%A4%8D.png)]

文件隐藏与恢复

/dev/null[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GCGlA3Pe-1677481746534)(https://github.com/LaPhilosophie/hello-rootkit/blob/main/image/%E6%96%87%E4%BB%B6%E9%9A%90%E8%97%8F%E6%81%A2%E5%A4%8D.png?rawtrue)]

端口隐藏与恢复

/dev/null[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2f1Dn8VW-1677481746534)(https://raw.githubusercontent.com/LaPhilosophie/hello-rootkit/main/image/%E7%AB%AF%E5%8F%A3%E9%9A%90%E8%97%8F%26%E6%81%A2%E5%A4%8D.png)]

参考资料

Modulesawesome-linux-rootkits简易

Linux

检测技术发展现状https://github.com/plusls/rootkithttps://github.com/TangentHuang/ucas-rootkithttps://xcellerator.github.io/posts/linux_rootkits_07/https://github.com/torvalds/linux/tree/325d0eab4f31c6240b59d5b2b8042c88f59405b5/fshttps://docs-conquer-***-universe.read***docs.io/zh_CN/latest/linux_rootkit/fundamentals.htmlhttps://github.com/vkobel/linux-syscall-hook-rootkithttps://linux.die.net/man/2/getdents64