A simple try on FreeBSD rootkit

栏目: 服务器 · 发布时间: 6年前

内容简介:最近在忙着将防篡改软件移植到FreeBSD上。对比Linux,FreeBSD的内核版本较少,可以直接在内核层内做个拦截。看起来安全一些,不易被破坏。

前言

最近在忙着将防篡改软件移植到FreeBSD上。

对比Linux,FreeBSD的内核版本较少,可以直接在内核层内做个拦截。

Linux如果这样做的话,需要一直适配内核版本,这个很麻烦,大致是这两种思路:

每个 linux 内核版本都编译适配一下,对不同的内核版本适用不同的ko,需要无意义的编译很多次;

对应不同的内核型号,产品在用户处条件编译,有各种风险。

据说也可以做一个系统无关的elf文件运行。但这个的实现看起来很麻烦。

看起来安全一些,不易被破坏。

那么首先做一个监控open的hook吧

参考这个 BSD下第一个syscall hook,监视SYS_open的情况

正文

首先是一些系统调用有关的文件

/usr/src/sys/kern/sys_generic.c

/usr/src/sys/kern/vfs_syscalls.c

这两个有这次调用需要的sys_open的函数体

/usr/src/sys/sys/syscall.h

这里是调用号

首先,需要一个处理load的函数,类似这样

static int
load(struct module *module, int cmd, void *arg)
{
    int error = 0;
    switch (cmd) {
    case MOD_LOAD:
        uprintf("Hello, world!\n");
        break;
    case MOD_UNLOAD:
        uprintf("Good-bye, cruel world!\n");
        break;
    default:
        error = EOPNOTSUPP;
        break;
    }
    return(error);
}

来自 Designing BSD Rootkits

据说,也可以省略注册处理函数这步,但是为了安全,还是加上更好

Actually, this isn’t entirely true. You can have a KLD that just includes a sysctl. You can also dispense with module handlers if you wish and just use SYSINIT and SYSUNINIT directly to register functions to be invoked on load and unload, respectively. You can’t, however, indicate failure in those.

为了load后使用自定义的open_hook代替普通的open,需要这样改进

switch (cmd) {
    case MOD_LOAD:
    sysent[SYS_open].sy_call = (sy_call_t *)open_hook;
    break;
    case MOD_UNLOAD:
    sysent[SYS_open].sy_call = (sy_call_t *)sys_open;
    break;
    default:
    error = EOPNOTSUPP;
    break;
}

这样,在load的情况下,就会将SYS_open的处理函数变为open_hook了,卸载时自动恢复。

然后,为了打印open的参数,需要这样

/* system call hook. */
static int
open_hook(struct thread *td, register struct open_args *uap)
{
// 输出 open 打开的文件到控制台
uprintf("  SYS_open: \"%s\", flags: %d, mode: %X\n", uap->path, uap->flags, uap->mode);

return (sys_open(td, uap));
}

然后,编译加载,大概这样

# ls .
SYS_open: ".", flags: 1048576, mode: 0
SYS_open: ".", flags: 1048576, mode: 0
SYS_open: ".", flags: 1179652, mode: 0

可见新加入的组件已经开始工作了


以上所述就是小编给大家介绍的《A simple try on FreeBSD rootkit》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

云经济学

云经济学

乔·韦曼 (Joe Weinman) / 人民邮电出版社 / 2014-7-1 / CNY 75.00

在云计算日益成熟的今天,“接入而非拥有”的理念不断为人们所理解和接受。 《云经济学》阐述了“云经济学”不是经济理论中深奥的数学模型,而是技术革命的生动概括。“灵活的云计算能够有效提升企业的商业价值”则是本书的核心理念。 《云经济学——企业云计算战略与布局》从商业、金融及经济的视角解释了云经济的潜在原理,并通过易于理解的案例阐述了云计算是如何创造出综合价值的。无论你是供应商、零售商、服务......一起来看看 《云经济学》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

SHA 加密
SHA 加密

SHA 加密工具