扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:51CTO.COM 2007年10月19日
关键字:
在本页阅读全文(共4页)
更改系统调用表
当前的系统调用地址保存在系统调用表中,位于操作系统为内核保留的内存空间(虚拟地址最高1GB),系统调用入口地址的存放顺序同/usr/include/asm/unistd.h中的排列顺序,按系统调用号递增。
在0x80软中断发生之前,对应的系统调用号被压入eax寄存器,例如sys_write被调用时,其对应的系统调用ID:4会被压入eax。
入侵者使用的第一种方法是:更改系统调用表中的系统调用地址,这样系统调用发生时会跳转到攻击者自己编写的函数去执行。通过观察系统调用表中的系统调用入口地址,使用gdb我们可以比较容易检测到这种攻击行为。
原始的系统调用地址在内核编译阶段被指定,不会更改,通过比较原始的系统调用地址和当前内核态中的系统调用地址我们就可以发现系统调用有没有被更改。原始的系统调用地址在编译阶段被写入两个文件:
a.System.map该文件包含所有的符号地址,系统调用也包含在内;
b.系统初始化时首先被读入内存的内核映像文件vmlinux-2.4.x;
vmlinux-2.4.x文件通常以压缩的格式存放在/boot目录下,所以在比较之前必须解压这个文件,另一个问题是:我们的比较的前提是假设system.map及vmlinuz image都没有被入侵者更改,所以更安全的做法是在系统干净时已经创建这两个文件的可信任的拷贝,并创建文件的md5 hash。
原文中也列举了一个内核模块[gcc -c scprint.c -I/usr/src/`uname -r`/include/ ]使用该模块打印系统调用地址,并自动写入syslog,这样可以进行实时的比较。
在大多数被装载内核后门情况中,内核在系统初始化之后才被更改,更改发生在加载了rootkit的module或者被植入直接读写/dev/kmem的on-the-fly kernel patch之后。而通常情况下rootkit并不更改vmlinuz和system.map 这两个文件,所以打印这两个文件中的符号地址就可以知道系统原始的系统调用地址,系统当前运行中的系统调用地址(可能被更改)可以同过/proc下的kcore文件得到,比较两者就知道结果。
1.首先找出系统调用表地址:
[root@rh8 boot]# cat System.map-2.4.18-13 | grep sys_call_table c0302c30 D sys_call_table
2.使用nm命令可以打印出未被strip过的image文件中所有的符号地址:
[root@rh8 boot]# nm vmlinux-2.4.18-13 | grep sys_call_table
c0302c30 D sys_call_table
使用gdb可以打印出所有的系统调用入口地址,这些对应的地址在内核源代码的entry.S文件中定义,例如:
entry 0 (0xc01261a0)是sys_ni_syscall系统调用
entry 1 (0xc011e1d0)是sys_exit系统调用
entry 2 (0xc01078a0)是sys_fork系统调用
#gdb /boot/vmlinux-2.4.*
(gdb) x/255 0xc0302c30
0xc0302c30
0xc0302c40
0xc0302c50
0xc0302c60
...
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者