相关文章
如何选择适合你的Blog
网站设计2007年回顾:得到了什么 失去了什么
北京网站设计google ad到底还可不可行
北京网站制作小站排百度热门第一的后果
网站设计如何选择IDC及如何关利用最后机会抢钱
北京网站设计环球专刊:网上开店最好先调研
北京网页设计精准定位-网站成功的关键
北京网站设计关于垃圾站的几个常见问题(解答新手)
网页设计踏实作大站-自己作站五年的心得
网页设计重复网站,我看你能走多远!
品牌理念
北京网站建设最佳合作伙伴
北京网站建设专家企通互联
竭诚为您提供网站建设服务!
友好连接
文章搜索
你的位置:首页 >> 网站建设 >> 北京网页设计Linux下用gdb检测内核rootkit
北京网页设计Linux下用gdb检测内核rootkit
作者: 北京网站建设 日期:2008-03-27 06:04:51 来源: http://www.qitongnet.com
本文涉及的技术原理都不是新的,对研究人员没什么特别大的价值, 不过对工程人员应急相应来说不失为一种新的方法. 网站制作
【理解攻击向量】 北京网页设计 www.qitongnet.com
北京网页设计
内核rookit通常以系统调用为攻击目标,主要出于两个原因: 网站建设
a.在内核态劫持系统调用能以较小的代价控制整个系统,不必修太多东西; 网站制作
b.应用层大多数函数是一个或多个系统调用不同形式的封装,更改系统调用意味着其上层所有的函数都会被欺骗; 网站建设
在kernel-2.4.27中大约有230多个系统调用,而kernel-2.6.9中大约有290多个系统调用,系统调用的个数取决于内核版本.完整的系统调用列表可以在 /usr/include/asm/unistd.h头文件中获得. 另外需要注意的是入侵者并不更改所有的系统调用,而只是替换其中一些比较有用的.这些系统调用如表一所示,他们可以被系统管理员及入侵检测系统(OS kernel级IDS 网页设计)监视,可以用man命令得到每个系统调用的完整描述。 企通互联
北京网页设计
System call name Short description ID 企通互联
------------------------------------------------------------------------------------------- 企通互联 北京网站制作
sys_read used for reading from files 3 北京网站制作
sys_write used for writing to files 4 网站建设
sys_open used to create or open files 5 网页设计
sys_getdents/sys_getdents64 used to list a content of directories(also /proc) 141/220 北京网站建设
sys_socketcall used for managing sockets 102 网页设计
sys_query_module used for querying loaded modules 167 北京网站制作
sys_setuid/sys_getuid used for managing UIDs 23/24 网站建设
sys_execve used for executing binary files 11 网页设计
sys_chdir used to change the directory 12 北京网站设计
sys_fork/sys_clone used to create a child process 2/120 网页设计
sys_ioctl used to control devices 54 北京网站制作
sys_kill used to send signal to processes 37 企通互联
企通互联
我们注意上表的系统调用号,这些ID都是针对kernel-2.4.18-3的。 企通互联
北京网页设计
本文所有的例子都在Redhat7.3 kernel-2.4.18-3上通过测试,我们也可以在其他版本包括最新的2.6.x 北京网站建设上用相似的步骤研究,不同之处可能在于2.6的一些内部结构,比如系统调用表的地址原来内含在系统调用处理例程system_call中,现在改成在syscall_call函数中。 网站制作
网页设计
【更改系统调用表】 北京网页设计
北京网站建设 网站建设
当前的系统调用地址保存在系统调用表中,位于操作系统为内核保留的内存空间(虚拟地址最高1GB),系统调用入口地址的存放顺序同/usr/include/asm/unistd.h中的排列顺序,按系统调用号递增。 -_-!鉴于原文废话很多,我就跳着翻译或者概括起来翻译,有兴趣的可以找本Linux内核的书看看(e.g:ULK2) 在0x80软中断发生之前,对应的系统调用号被压入eax 网站制作寄存器,例如sys_write 北京网页设计被调用时,其对应的系统调用 ID:4会被压入eax 北京网站建设
北京网站设计网站建设
入侵者使用的第一种方法是:更改系统调用表中的系统调用地址,这样系统调用发生时会跳转到攻击者自己编写的函数去执行。通过观察系统调用表中的系统调用入口地址,使用gdb我们可以比较容易检测到这种攻击行为。 北京网站设计
北京网站设计
原始的系统调用地址在内核编译阶段被指定,不会更改,通过比较原始的系统调用地址和当前内核态中的系统调用地址我们就可以发现系统调用有没有被更改。原始的系统调用地址在编译阶段被写入两个文件:
网站建设
【理解攻击向量】 北京网页设计 www.qitongnet.com
北京网页设计
内核rookit通常以系统调用为攻击目标,主要出于两个原因: 网站建设
a.在内核态劫持系统调用能以较小的代价控制整个系统,不必修太多东西; 网站制作
b.应用层大多数函数是一个或多个系统调用不同形式的封装,更改系统调用意味着其上层所有的函数都会被欺骗; 网站建设
在kernel-2.4.27中大约有230多个系统调用,而kernel-2.6.9中大约有290多个系统调用,系统调用的个数取决于内核版本.完整的系统调用列表可以在 /usr/include/asm/unistd.h头文件中获得. 另外需要注意的是入侵者并不更改所有的系统调用,而只是替换其中一些比较有用的.这些系统调用如表一所示,他们可以被系统管理员及入侵检测系统(OS kernel级IDS 网页设计)监视,可以用man命令得到每个系统调用的完整描述。 企通互联
北京网页设计
System call name Short description ID 企通互联
------------------------------------------------------------------------------------------- 企通互联 北京网站制作
sys_read used for reading from files 3 北京网站制作
sys_write used for writing to files 4 网站建设
sys_open used to create or open files 5 网页设计
sys_getdents/sys_getdents64 used to list a content of directories(also /proc) 141/220 北京网站建设
sys_socketcall used for managing sockets 102 网页设计
sys_query_module used for querying loaded modules 167 北京网站制作
sys_setuid/sys_getuid used for managing UIDs 23/24 网站建设
sys_execve used for executing binary files 11 网页设计
sys_chdir used to change the directory 12 北京网站设计
sys_fork/sys_clone used to create a child process 2/120 网页设计
sys_ioctl used to control devices 54 北京网站制作
sys_kill used to send signal to processes 37 企通互联
企通互联
我们注意上表的系统调用号,这些ID都是针对kernel-2.4.18-3的。 企通互联
北京网页设计
本文所有的例子都在Redhat7.3 kernel-2.4.18-3上通过测试,我们也可以在其他版本包括最新的2.6.x 北京网站建设上用相似的步骤研究,不同之处可能在于2.6的一些内部结构,比如系统调用表的地址原来内含在系统调用处理例程system_call中,现在改成在syscall_call函数中。 网站制作
网页设计
【更改系统调用表】 北京网页设计
北京网站建设 网站建设
当前的系统调用地址保存在系统调用表中,位于操作系统为内核保留的内存空间(虚拟地址最高1GB),系统调用入口地址的存放顺序同/usr/include/asm/unistd.h中的排列顺序,按系统调用号递增。 -_-!鉴于原文废话很多,我就跳着翻译或者概括起来翻译,有兴趣的可以找本Linux内核的书看看(e.g:ULK2) 在0x80软中断发生之前,对应的系统调用号被压入eax 网站制作寄存器,例如sys_write 北京网页设计被调用时,其对应的系统调用 ID:4会被压入eax 北京网站建设
北京网站设计网站建设
入侵者使用的第一种方法是:更改系统调用表中的系统调用地址,这样系统调用发生时会跳转到攻击者自己编写的函数去执行。通过观察系统调用表中的系统调用入口地址,使用gdb我们可以比较容易检测到这种攻击行为。 北京网站设计
北京网站设计
原始的系统调用地址在内核编译阶段被指定,不会更改,通过比较原始的系统调用地址和当前内核态中的系统调用地址我们就可以发现系统调用有没有被更改。原始的系统调用地址在编译阶段被写入两个文件:
责任编辑:飞翔的鱼 QQ:35996213