几乎所有的空用户间操作在系统内核里都是通过系统里的系统调用来实现的,前面也写了一篇有关系统调用的文章,这里再简单的介绍一下大至过程,当用户执行某
一操作时,比如果打开文件的操作,打开文件的程序会调用到glib库中的open函数,而open函数最终在内核的实现就是open系统调用,当用户执行
到open函数时,会由用户空间切换到内核内间,通过int
80进行切换,进入内核空间后会找到一个sys_call_table的符号,sys_call_table是一个指向系统调用号列表的指针,再在
sys_call_table里找到想应的系统调用号,再通过系统调用号找到内核的系统调用,再执行系统调用。
劫持系统调用就是我们自己构造一个系统调用,想办法使sys_call_table相应的系统调用号指向我们自己构造的函数。在原来的2.2内核里,可以
将sys_call_table直接导出,这样我们就很容易拿到sys_call_table的控制权来实现系统调用的劫持,但是从2.4的版本以后,考
虑到安全问题不允许将sys_call_table再导出,这样就加大了取得sys_call_table控制权的难度,后面有人从/dev/kmem里
读取sys_call_table的地址,再通过sys_call_table地址来实现系统调用的劫持,后来找到了一种更好的办法,可以不通过
/dev/kmem来直接找到sys_call_table的地址。这里重点讨论一下这种方法。
这种方法的原理比较简单,但思路很好,实现过程是自已构建一个内核模块,在这个模块中导出一个sys_call_table,因为内核的
sys_call_table不允许导出,所以我们在自已编写的内核模块里实现sys_call_table的导出。我们在模块里找到int
80对sys_call_table的引用,找出sys_call_table的地址,再将我们将要导出的sys_call_table指向这个地址,这
样就是使到导出的sys_call_table和真实的sys_call_table没区别。
实现代码如下:
getsyscall.c文件
代码::
#ifndef __SYSCALL_INCLUDE__
# define __SYSCALL_INCLUDE__
#endif
#ifdef MODVERSIONS
#include
#endif
#include
#include
MODULE_LICENSE("GPL");
MODULE_AUTHOR("xinhe ");
MODULE_DESCRIPTION("export the sys_call_table");
#if !defined(symname)
#error symname not defined
#endif
#define CALLOFF 100
unsigned symname; /* #define */
struct {
unsigned short limit;
unsigned int base;
} __attribute__ ((packed)) idtr;
struct {
unsigned short off1;
unsigned short sel;
unsigned char none,
flags;
unsigned short off2;
} __attribute__ ((packed)) * idt;
void set_symbol_addr(unsigned old_value, unsigned new_value)
{
struct module *mod;
struct kernel_symbol *s;
int i;
for (mod = THIS_MODULE, s = mod->syms, i = 0; i < mod->num_syms; ++i, ++s)
if (s->value == old_value)
{
s->value = new_value;
return;
}
/*遍历本模块的符号表,把本模块的一个也叫sys_call_table的符号的地址
设置为系统真正的sys_call_table的实际地址。 */
}
char * findoffset(char *start)
{
char *p;
for (p = start; p < start + CALLOFF; p++)
if (*(p + 0) == '\xff' && *(p + 1) == '\x14' && *(p + 2) == '\x85')
return p;
/*查找ini 80处理函数对sys_call_table的引用*/
return NULL;
}
static int __init init(void)
{
unsigned sys_call_off;
unsigned sct;
char *p;
asm("sidt %0":"=m"(idtr));
idt = (void *) (idtr.base + 8 * 0x80);
sys_call_off = (idt->off2 << 16) | idt->off1;
/*查找int 80的入口地址*/
if ((p = findoffset((char *) sys_call_off)))
{
sct = *(unsigned *) (p + 3);
set_symbol_addr((unsigned) &symname, sct);
}
EXPORT_SYMBOL(sys_call_table);
return 0;
}
static void __exit fini(void)
{
}
module_init(init);
module_exit(fini);
getsyscall的makefile
代码::
obj-m :=getsyscall.o
EXTRA_CFLAGS := -Dsymname=sys_call_table
KDIR := /lib/modules/$(shell uname -r)/build
PWD := $(shell pwd)
default:
$(MAKE) -C $(KDIR) SUBDIRS=$(PWD) modules
clean:
$(RM) -rf .*.cmd *.mod.c *.o *.ko .tmp*
为了证明sys_call_table确实导出来,我们再来写一个系统调用劫持的模块来证明一下
getmkdir.c文件
代码::
#ifndef __GETMKDIR_INCLUDE__
# define __GETMKDIR_INCLUDE__
#endif
#include
#include
#include
#include
#include
#include
#include
MODULE_LICENSE("GPL");
MODULE_AUTHOR("xinhe ");
MODULE_DESCRIPTION("export the sys_call_table");
extern void *sys_call_table[];
int (*orig_mkdir)(const char *path);/*指向系统的mkdir*/
/*构造自己的mkdir*/
int hacked_mkdir(const char *path)
{
printk("<1>this is a test");
return 0;
}
static int __init init(void)
{
orig_mkdir=sys_call_table[__NR_mkdir];
sys_call_table[__NR_mkdir]=hacked_mkdir;
/*将sys_call_table的mkdir指向我们自己构造的hacked_mkdir*/
}
static void __exit fini(void)
{
sys_call_table[__NR_mkdir]=orig_mkdir;
/*做恢复工作*/
}
module_init(init);
module_exit(fini);
对应的makefile文件
代码::
obj-m :=getmkdir.o
KDIR := /lib/modules/$(shell uname -r)/build
PWD := $(shell pwd)
default:
$(MAKE) -C $(KDIR) SUBDIRS=$(PWD) modules
clean:
$(RM) -rf .*.cmd *.mod.c *.o *.ko .tmp*
加载这个两模块后,再用mkdir创建目录,发现已经不能创建目录了
注:以上代码全在2.6.9中测试通过
存在的问题:
在测试的过程中也发现了一些问题.
当我在2.6.11.4中编译没问题,加载getsyscall没问题,当加载getmkdir时就出错了,而且内核出现异常,很多gnome的程序都出现问题,当执mkdir命令时也出来段错误,希望有高手来说明一下
===========================
2005-08
2.6的最新版据说要把sys_call_table里的东西挪到.rodata section中,这种方法似乎就不奏效了吧 :(
等开学了回去看看
阅读(1555) | 评论(0) | 转发(0) |