Linux系统可卸载内核模块完全指南（中）

来源：Silversand.net 作者：IHH 时间：2005-11-09 点击：

我们不能确定这个程序到底是如何工作的以及我们应该截获那些系统调用来隐藏我们的礼物/工具。甚至有可能他引入了一个截获hacker们经常使用的系统调用的LKM来隐藏他自己，并检查系统的安全性(系统管理员们经常使用一些黑客技术来保护他们的系统)。

那我们应该如何继续呢?

2.2.1 发现有趣的系统调用(strace方法)

假定你已经知道了某个系统管理员用来检查系统的程序(这个可以通过某些其他的方法得到，象TTY hijacking(见2.9/appendixa)，现在唯一的问题是你需要让你的礼物躲过系统管理员的程序直到.....)。

好，现在用strace来运行这个程序(也许你需要root权限来执行他)

# strace super_admin_proggy

这会给你一个十分棒的关于这个程序的每个系统调用的输出。这些系统调用有可能都要加入到你的hacking LKM当中去。我并没有一个这样的管理程序作为例子给你看。但是我们可以看看’strace whoami‘的输出:

execve("/usr/bin/whoami", ["whoami"], [/* 50 vars */]) = 0

mmap(0, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) =

0x40007000

mprotect(0x40000000, 20673, PROT_READ|PROT_WRITE|PROT_EXEC) = 0

mprotect(0x8048000, 6324, PROT_READ|PROT_WRITE|PROT_EXEC) = 0

stat("/etc/ld.so.cache", {st_mode=S_IFREG|0644, st_size=13363, ...}) = 0

open("/etc/ld.so.cache", O_RDONLY)　　 = 3

mmap(0, 13363, PROT_READ, MAP_SHARED, 3, 0) = 0x40008000

close(3)　　　　　　　　　　　　　　　　= 0

stat("/etc/ld.so.preload", 0xbffff780) = -1 ENOENT (No such file or

directory)

open("/lib/libc.so.5", O_RDONLY)　　　　= 3

read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3"..., 4096) = 4096

mmap(0, 761856, PROT_NONE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x4000c000

mmap(0x4000c000, 530945, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_FIXED, 3, 0)

= 0x4000c000

mmap(0x4008e000, 21648, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3,

0x81000) = 0x4008e000

mmap(0x40094000, 204536, PROT_READ|PROT_WRITE,

MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x40094000

close(3)　　　　　　　　　　　　　　　　= 0

mprotect(0x4000c000, 530945, PROT_READ|PROT_WRITE|PROT_EXEC) = 0

munmap(0x40008000, 13363)　　　　　　 = 0

mprotect(0x8048000, 6324, PROT_READ|PROT_EXEC) = 0

mprotect(0x4000c000, 530945, PROT_READ|PROT_EXEC) = 0

mprotect(0x40000000, 20673, PROT_READ|PROT_EXEC) = 0

personality(PER_LINUX)　　　　　　　　 = 0

geteuid()　　　　　　　　　　　　　　 = 500

getuid()　　　　　　　　　　　　　　　　= 500

getgid()　　　　　　　　　　　　　　　　= 100

getegid()　　　　　　　　　　　　　　 = 100

brk(0x804aa48)　　　　　　　　　　　　 = 0x804aa48

brk(0x804b000)　　　　　　　　　　　　 = 0x804b000

open("/usr/share/locale/locale.alias", O_RDONLY) = 3

fstat(3, {st_mode=S_IFREG|0644, st_size=2005, ...}) = 0

mmap(0, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) =

0x40008000

read(3, "# Locale name alias data base\n#"..., 4096) = 2005

brk(0x804c000)　　　　　　　　　　　　 = 0x804c000

read(3, "", 4096)　　　　　　　　　　 = 0

close(3)　　　　　　　　　　　　　　　　= 0

munmap(0x40008000, 4096)　　　　　　　　= 0

open("/usr/share/i18n/locale.alias", O_RDONLY) = -1 ENOENT (No such file

or directory)

open("/usr/share/locale/de_DE/LC_CTYPE", O_RDONLY) = 3

fstat(3, {st_mode=S_IFREG|0644, st_size=10399, ...}) = 0

mmap(0, 10399, PROT_READ, MAP_PRIVATE, 3, 0) = 0x40008000

close(3)　　　　　　　　　　　　　　　　= 0

geteuid()　　　　　　　　　　　　　　 = 500

open("/etc/passwd", O_RDONLY)　　　　 = 3

fstat(3, {st_mode=S_IFREG|0644, st_size=1074, ...}) = 0

mmap(0, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) =

0x4000b000

read(3, "root:x:0:0:root:/root:/bin/bash\n"..., 4096) = 1074

close(3)　　　　　　　　　　　　　　　　= 0

munmap(0x4000b000, 4096)　　　　　　　　= 0

fstat(1, {st_mode=S_IFREG|0644, st_size=2798, ...}) = 0

mmap(0, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) =

0x4000b000

write(1, "r00t\n", 5r00t

)　　　　　　　　 = 5

_exit(0)　　　　　　　　　　　　　　　　= ?

[收藏] [推荐] [评论] [打印] [关闭]

上一篇：Linux系统可卸载内核模块完全指南（上）
下一篇：Linux系统可卸载内核模块完全指南（下）

最新评论共有 0 位网友发表了评论

查看所有评论

发表评论

赞助商连接

souzz：www.souzz.net

Linux系统可卸载内核模块完全指南（中）