科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道在Linux下用gdb检测内核rootkit

在Linux下用gdb检测内核rootkit

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文涉及的技术原理都不是新的,对研究人员没什么特别大的价值,不过对工程人员应急相应来说不失为一种新的方法。

作者:51CTO.COM 2007年10月19日

关键字: 系统调用 Linux GDB 内核rootkit

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共4页)

       理解攻击向量

  内核rookit通常以系统调用为攻击目标,主要出于两个原因:

  a.在内核态劫持系统调用能以较小的代价控制整个系统,不必修太多东西;

  b.应用层大多数函数是一个或多个系统调用不同形式的封装,更改系统调用意味着其上层所有的函数都会被欺骗;

  在kernel-2.4.27中大约有230多个系统调用,而kernel-2.6.9中大约有290多个系统调用,系统调用的个数取决于内核版本。完整的系统调用列表可以在 /usr/include/asm/unistd.h头文件中获得。

  另外需要注意的是入侵者并不更改所有的系统调用,而只是替换其中一些比较有用的。这些系统调用如表一所示,他们可以被系统管理员及入侵检测系统(OS kernel级IDS)监视,可以用man命令得到每个系统调用的完整描述。

  System call name Short description ID

  ---------------------------------------------------------------------------------------

  sys_read used for reading from files 3

  sys_write used for writing to files 4

  sys_open used to create or open files 5

  sys_getdents/sys_getdents64 used to list a content of directories(also /proc) 141/220

  sys_socketcall used for managing sockets 102

  sys_query_module used for querying loaded modules 167

  sys_setuid/sys_getuid used for managing UIDs 23/24

  sys_execve used for executing binary files 11

  sys_chdir used to change the directory 12

  sys_fork/sys_clone used to create a child process 2/120

  sys_ioctl used to control devices 54

  sys_kill used to send signal to processes 37

  我们注意上表的系统调用号,这些ID都是针对kernel-2.4.18-3的。

  本文所有的例子都在Redhat7.3 kernel-2.4.18-3上通过测试,我们也可以在其他版本包括最新的2.6.x上用相似的步骤研究,不同之处可能在于2.6的一些内部结构,比如系统调用表的地址原来内含在系统调用处理例程system_call中,现在改成在syscall_call函数中。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章