一種Linux下隱藏文件的新方法
一. 概述
目前通用的隱藏文件方法還是hooksys_getdents64系統調用, 大致流程就是先調用原始的
sys_getdents64系統調用,然後在在buf中做過濾。修改sys_call_table是比較原始的rk技術了,
碰到好點的管理員, 基本上gdb一下vmlinux就能檢測出來。 如何想做到更加隱蔽的話,就要
尋找新的技術。 inline hook也是目前比較流行的做法,不容易檢測。本文通過講解一種利用
inline hook內核中某函數, 來達到隱藏文件的方法。
二. 剖析sys_getdnts64系統調用
想隱藏文件, 還是要從sys_dents64系統調用下手。 去看下它在內核中是如何實現的。
代碼在linux-2.6.26/fs/readdir.c中:
asmlinkage long sys_getdents64(unsigned int fd, struct linux_dirent64 __user * dirent, unsigned int count)
{
struct file * file;
struct linux_dirent64 __user * lastdirent;
struct getdents_callback64 buf;
int error;
error = -EFAULT;
if (!access_ok(VERIFY_WRITE, dirent, count))
goto out;
error = -EBADF;
file = fget(fd);
if (!file)
goto out;
buf.current_dir = dirent;
buf.previous = NULL;
buf.count = count;
buf.error = 0;
error = vfs_readdir(file, filldir64, &buf);
if (error < 0)
goto out_putf;
error = buf.error;
lastdirent = buf.previous;
if (lastdirent) {
typeof(lastdirent->d_off) d_off = file->f_pos;
error = -EFAULT;
if (__put_user(d_off, &lastdirent->d_off))
goto out_putf;
error = count - buf.count;
}
out_putf:
fput(file);
out:
return error;
}
首先調用access_ok來驗證是下用戶空間的dirent地址是否越界,是否可寫。 接着根據fd,
利用fget找到對應的file結構。 接着出現了一個填充buf數據結構的操作,先不管它是幹什麼的,
接着往下看。
vfs_readdir(file, filldir64, &buf);
函數最終還是調用vfs層的vfs_readdir來獲取文件列表的。 到這,我們可以是否通過hook
vfs_readdir來達到隱藏文件的效果呢。 繼續跟蹤vfs_readdir看看這個想法是否可行。
源代碼在同一文件中:
int vfs_readdir(struct file *file, filldir_t filler, void *buf)
{
struct inode *inode = file->f_path.dentry->d_inode;
int res = -ENOTDIR;
if (!file->f_op || !file->f_op->readdir)
goto out;
res = security_file_permission(file, MAY_READ);
if (res)
goto out;
res = mutex_lock_killable(&inode->i_mutex);
if (res)
goto out;
res = -ENOENT;
if (!IS_DEADDIR(inode)) {
res = file->f_op->readdir(file, buf, filler);
file_accessed(file);
}
mutex_unlock(&inode->i_mutex);
out:
return res;
}
EXPORT_SYMBOL(vfs_readdir);
它有3個參數,第一個是通過fget得到的file結構指針, 第2個通過結合上下文可得知,這是一個
回調函數用來填充第3個參數開始的用戶空間的指針。 接着看看它具體是怎麼實現的。
通過security_file_permission()驗證後, 在用mutex_lock_killable()對inode結構加了鎖。
然後調用ile->f_op->readdir(file, buf, filler);通過進一步的底層函數來對buf進行填充。
這個buf就是用戶空間strcut dirent64結構的開始地址。
所以到這裏我們可以斷定通過hook vfs_readdir函數對buf做過濾還是可以完成隱藏文件的功能。
而且vfs_readdir的地址是導出的, 這樣就不用複雜的方法找它的地址了。
但是還有沒有更進一步的方法呢? 前面不是提到過有個filldir64函數嗎, 它用來填充buf結構的。
也許通過hook它來做更隱蔽的隱藏文件方法。 繼續跟蹤filldir64,看看它是怎麼實現的。
static int filldir64(void * __buf, const char * name, int namlen, loff_t offset,
u64 ino, unsigned int d_type)
{
struct linux_dirent64 __user *dirent;
struct getdents_callback64 * buf = (struct getdents_callback64 *) __buf;
int reclen = ALIGN(NAME_OFFSET(dirent) + namlen + 1, sizeof(u64));
buf->error = -EINVAL;
if (reclen > buf->count)
return -EINVAL;
dirent = buf->previous;
if (dirent) {
if (__put_user(offset, &dirent->d_off))
goto efault;
}
dirent = buf->current_dir;
if (__put_user(ino, &dirent->d_ino))
goto efault;
if (__put_user(0, &dirent->d_off))
goto efault;
if (__put_user(reclen, &dirent->d_reclen))
goto efault;
if (__put_user(d_type, &dirent->d_type))
goto efault;
if (copy_to_user(dirent->d_name, name, namlen))
goto efault;
if (__put_user(0, dirent->d_name + namlen))
goto efault;
buf->previous = dirent;
dirent = (void __user *)dirent + reclen;
buf->current_dir = dirent;
buf->count -= reclen;
return 0;
efault:
buf->error = -EFAULT;
return -EFAULT;
}
先把參數buf轉換成struct getdents_callback64的結構指針。
struct getdents_callback64 {
struct linux_dirent64 __user * current_dir;
struct linux_dirent64 __user * previous;
int count;
int error;
};
current_dir始終指向當前的struct dirent64結構,filldir64每次只填充一個dirent64結構。
它是被file->f_op->readdir循環調用的。 通過代碼可以看出是把dirent64結構的相關項拷貝到
用戶空間的dirent64結構中, 然後更新相應的指針。
所以通過分析filldir64代碼, 可以判定通過判斷參數name,看它是否是我們想隱藏的文件,
是的話,return 0就好了。
三. 擴展
通過分析sys_getdents64代碼的實現,我們可以瞭解到通過hook內核函數的方法,來完成
rootkit的功能是很簡單和方便的。 關鍵你能瞭解它的實現邏輯。 對linux平臺來說,閱讀內核
源代碼是開發rootkit的根本。 如何hook? 最簡單的就是修改函數的前幾個字節,jmp到我們的
新函數中去, 在新函數完成類似函數的功能。 根本不必在跳回原函數了, 有了內核源代碼在手,
原函數怎麼實現,我們就怎麼copy過去給它在實現一次。 所在linux實現rk也有很方便的一點,
就是它的內核源代碼是公開的, 好好閱讀源代碼吧, 你會有更多的收穫。
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.