Freebsd内核模块源码实现以及应用探秘

时间：2005-11-25 10:43:19 来源：作者：

�

int
set_symbol(struct proc *p, struct set_symbol_args *uap)
{

    linker_file_t lf;
    elf_file_t ef;
    unsigned long symnum;
    const Elf_Sym* symp = NULL;
    Elf_Sym new_symp;
    const char *strp;
    unsigned long hash;
    caddr_t address;
    int error = 0;

    mod_debug("Set symbol %s address 0x%xn",uap->name,uap->address);

    lf = TAILQ_FIRST(&linker_files);
    ef = lf->priv;

    /* First, search hashed global symbols */参见elf鉴别
    hash = elf_hash(uap->name);          //通过对名字hash可以加快寻找速度，
    symnum = ef->buckets[hash % ef->nbuckets];//

    while (symnum != STN_UNDEF) {
        if (symnum >= ef->nchains) {
            printf("link_elf_lookup_symbol: corrupt symbol tablen");
            return ENOENT;
        }

        symp = ef->symtab + symnum;      //symtab节是静态符号节
        if (symp->st_name == 0) { //符号名字索引
            printf("link_elf_lookup_symbol: corrupt symbol tablen");
            return ENOENT;
        }

        strp = ef->strtab + symp->st_name; //符号名节

        if (!strcmp(uap->name, strp)) {

            /* found the symbol with the given name */
            if (symp->st_shndx != SHN_UNDEF || //关联的索引
                (symp->st_value != 0 && ELF_ST_TYPE(symp->st_info) == STT_FUNC )) { //符号类型，关联一个函数

                /* give some debug info */
                address = (caddr_t) ef->address + symp->st_value;
        //符号的地址 =模块的地址+st_value  st_value表示文件偏移
                mod_debug("found %s at 0x%x!n",uap->name,(uintptr_t)address);

                bcopy(symp,&new_symp,sizeof(Elf_Sym));
                new_symp.st_value = uap->address; //改变成新的地址

                address = (caddr_t) ef->address + new_symp.st_value;
                mod_debug("new address is 0x%xn",(uintptr_t)address);

                /* set the address */
                bcopy(&new_symp,(ef->symtab + symnum),sizeof(Elf_Sym));

                break;

                break;

            } else
                return(ENOENT);
        }

        symnum = ef->chains[symnum];
    }

    /* for now this only looks at the global symbol table */

    return(error);
}
symtable是一个单独的模块，它将加载上面用过的所有系统调用，你可以通过set_sym工具来测试，它将击败tool/checkcall

7. 保护你自己：猫和老鼠的游戏。

现在你可能要问，如何防止你的系统发生这种情况，也许你有兴趣与找到你自己：）
下面我们来看几种检测的方法：

7.1 检查符号表

在上面的例子中，我们看到了系统调用表被修改了，所以你可以检查系统调用表来发现修改，一种方法就是，在系统启动时加载一个
包含有特殊目的的系统调用的模块，这个系统调用用来检查并与先前保存系统调用表对比。

上面的方法很通用，但是启它的表被修改了呢？当然你可以添加更多别的表的检查，这种方法是不能检测到jump这种方法和
直接修改内核的方法。

你应该通过/dev/kmem 监察系统调用表，在tools/checkcall有个例子，它带有两个参数，一个是syscall的名字，还有一个就是
系统调用号，以此载系统调用表中来检查。

但是这样还是有问题，比如利用在实战节中我们介绍的方法，我们只能得到错误的地址，下面的例子中将用来证明，假如我们
加载了CY,现在假如我们想要检查open这个系统调用，SYS_open的系统调用号为5，定义于/sys/sys/syscall.h
我们作如下检测
# tools/checkcall open 5
Checking syscall 5: open

sysent is 0x4 at 0xc03b7308
sysent[5] is at 0xc03b7330 and will go to function at 0xc0cd5bf4
ALERT! It should go to 0xc01ce5f8 instead

当然我们通过setsym来修复这个问题，当然你需要首先加载symtable这个模块
# exp/setsym 0xc0cd5bf4 open

现在再用checkcall检查，不会出现ALERT了，它假设open就是在0xc0cd5bf4，但是故事并没有结束，我们可以通过实际检查kernel
来证实objdump -d /kernel --start-address=0xc0cd5bf4 我们就会怀疑这个系统调用的地址过高，objdump在这个地址却没有
发现任何东西，暗示有问题了。这表明你的内核或者objdump被文件重向了，然而这将会引起一点小的争论。

7.2 陷阱模块

另外的你可以做的就是加在一个模块用来纪录kldload的调用，然后判断是拒绝还是加载，在trapmod/有个例子，你可以用非隐藏的方式
加载这个模块，当然在安全级别提升前。

7.3

（略）

7.4 概论

（略） 8.结论
正如你所见到的，很多攻击的技术同样可以用来防御，通常隐藏一个用来管理的模块很重要，作为一个系统管理员隐藏一些用来检测入侵
的shell和文件是必要的。如果你是个freebsd系统管理员，应该时刻意识到即使系统处在一个高的安全级别也有很多需要注意的地方。

这篇文章可以让你学到更多的kernel works , 这是最重要的；）

9.代码
文中提到的所有代码都可以在Curious Yellow 包中找到（地址：http://www.r4k.net/mod/cyellow-0.01.tar.gz

联盟站:http://www.xxlinux.com
有问题请到论坛:http://bbs.xxlinux.com

7/7 |‹ ‹‹ 5 6 7

来顶一下

返回首页