扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:51CTO.COM 2007年10月19日
关键字:
在本页阅读全文(共4页)
我们也可以通过系统调用名打印出系统调用的地址:
(gdb) x/x sys_ni_syscall
0xc01261a0
((gdb) x/x sys_fork
0xc01078a0
要打印出当前运行系统中的系统调用地址我们必须给gdb加两个参数:
a.第一个参数是内核映像文件vmliux-2.4.x
b.第二个参数是/proc/kcore二进制文件
#gdb /boot/vmlinux-2.4.* /proc/kcore
(gdb) x/255x 0xc0302c30
0xc0302c30
0xc0302c40
0xc0302c50
0xc0302c60
...
我们注意到第一行最后的0xc88ab11a这个地址明显不正常,这是系统调用号为3的系统调用,即sys_read (系统调用从0开始) 。
我们说它不正常的显著标志是它的地址高于0xc8xxxxxx,Linux默认4GB线性地址,其中最高1GB0x00000000-0xffffffff为内核保留,当一个模块被插入内核时,vmalloc函数为其分配一段地址空间,这个地址通常从0xc8800000开始...到这里已经很明显了吧?
系统调用劫持
劫持系统调用与上一种方法不同之处在于:它并不直接修改系统调用表中的入口地址,即指向每个系统调用的跳转指针,而是在想要hook的系统调用之前加一段跳转代码,使执行流重定向到入侵者自己的内核态函数,这些被hook的系统调用前部通常有call,jmp之类的汇编指令。
要检测这种攻击,同样使用gdb加vmlinux-2.4.*及/proc/kcore两个参数,然后反汇编系统调用:
#gdb /boot/vmlinux-2.4.* /proc/kcore
(gdb) disass sys_read
Dump of assembler code for function sys_read:
0xc013fb70
0xc013fb73
0xc013fb77
0xc013fb7b
0xc013fb7f
...
我们注意"mov $0xc88ab0a6,%ecx -- jmp *%ecx"这两条指令,他跳转到了其他的地方去执行了。
然后再来看一下被hook之前的系统调用指令:
#gdb /boot/vmlinx-2.4.*
(gdb) disass sys_read
Dump of assembler code for function sys_read:
0xc013fb70
0xc013fb73
0xc013fb77
0xc013fb7b
0xc013fb7f
...
看到了吧,不一样的。
更改系统调用处理例程
入侵者可能修改一些重要的内核函数,比如系统调用处理例程system_call函数,顾名思义,这个函数对用户请求的系统调用作出响应,在系统调用表中寻找对应的入口地址,然后跳转到那里执行,这个函数中保存了系统调用表的地址。攻击者能做什么呢?另辟一块内存空间,在那里攻击者伪造自己的系统调用表,然后修改system_call函数中的系统调用表地址指向那里就可以了。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者