内核后门实现及其检测.pdf

内核后门实现及其检测 --Backdoor研究Linux系列 主要内容 常见的内核后门实现方式 常见的内核后门检测方法 实现方式 内核后门的安插方式 a.可加载内核模块方式 b./dev/kmem方式 c.静态内核补丁 实现方式 可加载内核模块方式 LKM （Loadable Kernel Module ）后门顾名思义是以 LKM方式实现的后门，程序被编译成具有init_module入口的 obj ect程序，然后通过系统命令insmod进行加载，这是最为普 遍的内核后门的实现。 实现方式 可加载内核模块方式 根据一个简单例子了解module加载的原理 [root@linux-j btzhm test]#cat hello.c int init_module() { char s[] = hello world\n; printk(%s\n,s); return 0; } 实现方式 可加载内核模块方式 编译后我们得到ELF标准的object文件，然后可以用标准的insmod系统命令进 行加载。 [root@linux-j btzhm test]#gcc -O2 -c hello.c [root@linux-j btzhm test]#insmod hello,o 实现方式 可加载内核模块方式 Objdump命令行可以打印出ELF格式的object文件 [root@linux-j btzhm test]# objdump -x hello.o|more .. RELOCATION RECORDS FOR [.text]: OFFSET TYPE VALUE R_386_32 .rodata R_386_32 .rodata 0000000e R_386_PC32 printk 实现方式 可加载内核模块方式 [root@linux-j btzhm test]# objdump -d hello.o test.o: file format elf32-i386 Disassembly of section .text: init_module: 0: 55 push %ebp 1: 89 e5 mov %esp,%ebp 3: 68 00 00 00 00 push $0x0 8: 68 0d 00 00 00 push $0xd d: e8 fc ff ff ff call e init_module+0xe 12: 31 c0 xor %eax,%eax 14: c9 leave 15: c3 ret 实现方式 可加载内核模块方式 几个和module相关的系统调用 Sys_create_module Sys_init_module Sys_query_module Sys_delete_module 实现方式 可加载内核模块方式 内核提供了像用户空间malloc和free类似的两对独立的函数。 第一对是kmalloc和kfree，管理在内核段内分配的内存 这是真实地址已知 的实际和物理内存块。 第二对是vmalloc和vfree，用于对内核使用的虚拟内存进行分配和释 实现方式 可加载内核模块方式 vmlist addr addr+size VMALLOC_START VMALLOC_END