在Linux下用gdb检测内核rootkit

　　更改系统调用表

　　当前的系统调用地址保存在系统调用表中，位于操作系统为内核保留的内存空间(虚拟地址最高1GB)，系统调用入口地址的存放顺序同/usr/include/asm/unistd.h中的排列顺序，按系统调用号递增。

　　在0x80软中断发生之前，对应的系统调用号被压入eax寄存器，例如sys_write被调用时，其对应的系统调用ID:4会被压入eax。

　　入侵者使用的第一种方法是：更改系统调用表中的系统调用地址，这样系统调用发生时会跳转到攻击者自己编写的函数去执行。通过观察系统调用表中的系统调用入口地址，使用gdb我们可以比较容易检测到这种攻击行为。

　　原始的系统调用地址在内核编译阶段被指定，不会更改，通过比较原始的系统调用地址和当前内核态中的系统调用地址我们就可以发现系统调用有没有被更改。原始的系统调用地址在编译阶段被写入两个文件：

　　a.System.map该文件包含所有的符号地址，系统调用也包含在内；

　　b.系统初始化时首先被读入内存的内核映像文件vmlinux-2.4.x；

　　vmlinux-2.4.x文件通常以压缩的格式存放在/boot目录下，所以在比较之前必须解压这个文件，另一个问题是：我们的比较的前提是假设system.map及vmlinuz image都没有被入侵者更改，所以更安全的做法是在系统干净时已经创建这两个文件的可信任的拷贝，并创建文件的md5 hash。

　　原文中也列举了一个内核模块[gcc -c scprint.c -I/usr/src/`uname -r`/include/　]使用该模块打印系统调用地址，并自动写入syslog，这样可以进行实时的比较。

　　在大多数被装载内核后门情况中，内核在系统初始化之后才被更改，更改发生在加载了rootkit的module或者被植入直接读写/dev/kmem的on-the-fly kernel patch之后。而通常情况下rootkit并不更改vmlinuz和system.map 这两个文件，所以打印这两个文件中的符号地址就可以知道系统原始的系统调用地址，系统当前运行中的系统调用地址(可能被更改)可以同过/proc下的kcore文件得到，比较两者就知道结果。

　　1.首先找出系统调用表地址：

　　[root@rh8 boot]# cat System.map-2.4.18-13 | grep sys_call_table c0302c30 D sys_call_table

　　2.使用nm命令可以打印出未被strip过的image文件中所有的符号地址：

　　[root@rh8 boot]# nm vmlinux-2.4.18-13 | grep sys_call_table

　　c0302c30 D sys_call_table

　　使用gdb可以打印出所有的系统调用入口地址，这些对应的地址在内核源代码的entry.S文件中定义，例如：

　　entry 0 (0xc01261a0)是sys_ni_syscall系统调用

　　entry 1 (0xc011e1d0)是sys_exit系统调用

　　entry 2 (0xc01078a0)是sys_fork系统调用

　　#gdb /boot/vmlinux-2.4.*

　　(gdb) x/255 0xc0302c30

　　0xc0302c30 : 0xc01261a0 0xc011e1d0 0xc01078a0 0xc013fb70

　　0xc0302c40 : 0xc013fcb0 0xc013f0e0 0xc013f230 0xc011e5b0

　　0xc0302c50 : 0xc013f180 0xc014cb10 0xc014c670 0xc0107940

　　0xc0302c60 : 0xc013e620 0xc011f020 0xc014bcd0 0xc013e9a0

　　...