12 LKM技术.docVIP

第十讲 LKM技术 1．LKM介绍 木马最大的特性就是隐蔽性，不能轻易让人察觉，所以隐藏木马相关信息是关键的因素。对于Linux操作系统来说，主要有静态隐藏和动态隐藏两个标准。静态隐藏是指木马文件的隐藏，用“ls”命令看不见我们的木马服务端程序。动态隐藏是指当木马运行时，进程和通讯端口的隐藏，如用“ps –A”命令不能找到木马进程，用“netstat -at”命令不会显示木马端口的通讯情况等。 对于Windows操作系统，隐藏进程的最新技术是通过修改虚拟设备驱动程序(VXD)或修改动态连接库 (DLL)。这种方法基本上摆脱了原有的木马模式---监听端口，而采用替代系统功能的方法(改写VXD或DLL文件)，木马会将修改后的DLL替换系统原有的DLL，并对所有的函数调用进行过滤。对于特殊的调用，使用函数转发器直接转发给被替换的系统DLL，执行一些相应的操作。由于修改了系统调用，使用常规的方法监测不到它。 由于Linux本身的安全性，想利用外壳程序隐藏木马文件和进程不可能实现，所以就借鉴上面的修改系统调用的方法，通过修改Linux内核的系统调用来隐藏木马相关信息，这就是LKM技术。 1.1 LKM LKM就是可装载内核模块(Loadable Kernel Modules)。这些模块本来是Linux系统用于扩展其功能的。当LKM被载入内核，就能修改内核变量，重载内核函数，轻易得实现扩充或裁减操作系统内核的某些功能。同时动态的载入模块还意味着能留给用户程序更多的内存。由于这些优点,他们常常被特殊的设备或者文件系统（例如声卡、打印机等）使用。 每个LKM至少由两个基本的函数组成: int init_module(void) /*用于初始化所有的数据*/ { ... } void cleanup_module(void) /*用于清除数据从而能安全地退出*/ { ... } 对这个module.c文件的编译命令是： #gcc -c -O2 –I/usr/src/linux/include module.c 有时会需要更加复杂的参数，视具体情况而定。 编译生成一个module.o文件，这就是要加载的内核模块。模块的几个基本操作命令是： #insmod module.o 加载模块 #lsmod 显示模块 #rmmod module 删除模块 这几个命令必须在root权限下才能使用。 1.2 系统调用 所有的操作系统在其内核里都有一些内建的函数，这些函数可以用来完成一些系统级别的功能。在Linux系统中这些函数就被称为系统调用(system_call)。它们代表了一个从用户级别到内核级别的转换。例如在用户空间调用open函数，则会在内核空间调用sys_open()。在/usr/include/sys/syscall.h中有一个完整的系统调用列表。 每个系统调用都有一个预定义的数字，那实际上是用来进行这些调用的。内核通过中断 0x80来控制每一个系统调用。这些系统调用的数字以及任何参数都将被放入某些寄存器(比如说eax是用来放那些代表系统调用的数字) 。那些系统调用的数字是一个被称之为sys_call_table[]（系统调用在内核中定义的入口地址）的内核中的数组结构的索引值，这个结构把系统调用的数字映射到实际使用的函数。 2．LKM后门功能的实现 2.1 一个截获系统调用的例子libc标准库中的封装函数。封装函数将参数装入对应的寄存器并调用int 0x80中断指令进入系统核心。操作系统接收到中断请求后，会根据中断向量找到中断描述符表中对应的描述符，在进行优先级校验后，根据段选择码和段内偏移找到并调用system_call()中断服务子程序。system_call()保存寄存器值，进行系统调用号的有效性检验，根据系统调用号在系统调用表找到并调用相应的系统调用服务程序[1，8]。系统调用服务程序执行结束后，将返回值存入EAX寄存器。操作系统调用ret_from_sys_call()返回。例如，处理sys_write()系统调用的函数执行链如图1所示。 图1 处理sys_write()系统调用的函数执行链 命令查看当前目录信息，调用open()、gendents64()、write()等系统调用如果截获write()这个系统调用，修改它的，那么现在的输出信息就不是真正的系统信息。LKM后门最大的特点就是截获并修改多个系统调用，从而改变整个系统响应。sys_call_table[]中的入口；2，保存sys_call_table[x]的旧入口指针(x代表所想要截获的系统调用号) ；3，将自定义的新的函数指针存入sys_call_table[x][9]。完成上述步