Linux系统调用劫持_技术原理_应用及检测.pdfVIP

!#$% 系统调用劫持：技术原理、应用及检测 时金桥 方滨兴 胡铭曾 李 斌 （哈尔滨工业大学国家计算机信息内容安全重点实验室，哈尔滨 7E 7） ： FG41)0 =HIJK1@’E78$A)’$,25$@+ 摘 要 系统调用劫持是黑客入侵系统后保留后门常用的一项技术。文章提出了利用可装入内核模块修改系统调用表 和中断描述符表两种实现-)+56 系统调用劫持的方法，探讨了系统调用劫持技术在%’()’ 、入侵检测等方面的应用，并给 出了利用(4,4 进行系统调用劫持检测的一般方法。该文的分析基于*+’,0 68C 平台上的!$; 内核。 关键词 系统调用劫持 可装入内核模块 L’()’ 入侵检测 文章编号 （ ） 文献标识码 中图分类号 7!G8##7G !# #!G 7CG; M NO#P#$8 ： ， !#$% ’()*+ ,-.. /0-12#3 4*15#1-. 67#18.*( 988.1-):# -#; *)*1):# 5 =#-: ?-#3 @#%#3 /$ A#3B*#3 ! @# （ ， ） Q1’)+10 ., -13 + R4K5’,% R+’,6’ *+S%41’)+ D,@5%)’ T1%3)+ 7E 7 9C()7-1) ： D=’,4 @100 A)H1@()+U )= 1 @44+ ’,@A+0U 5=,2 3 A1@(,%= ’ (,,K 31@(2%= + ’A, @4K%4)=,2 ==V ’,4$NA)= K1K,% K%,=,+’= ’W 4,’A2= ’ A)H1@( ==’,4 @100 3 42)S)+U ’A, ==’,4 @100 ’130, 1+2 )+’,%%5K’ 2,=@%)K’% ， ’130, 5=)+U 012130, (,%+,0 4250,$M0= )’ 2)=@5==,= ’A, 1KK0)@1’)+ S ==’,4 @100 A)H1@()+U )+ %’()’ )+’%5=)+ 2,’,@V ’)+ 1+2 ’A, U,+,%10 W1 ’ 2,’,@’ A)H1@()+U 3 5=, S (4,4$NA, 1+10=)= S ’A)= K1K,% )= 31=,2 + 0)+56 (,%+,0 !$; + *+’,0 68C$ ： ， ， ， D*’E:7;( D=’,4 @100 A)H1@()+U -12130, (,%+,0 4250, L’()’ *+’%5=)+ 2,’,@’)+ %’()’ 是攻击者用来隐藏踪迹和保留%’ 访问权限的工 程序通过调用)+’ 68 中断指令陷入核心，操作系统核心执行 具集。在一些黑客组织中， 是一个非常感兴趣的话题，各 中断服务例程，调用用户请求的系统调用服务例程，并将结果 %’()’ ， 种不同的%’()’ 被开发并发布在 *+’