如何检测Linux内核的Rootkit

最近一段时间搞了些Rootkit攻略，每个方法都比较彻底，无论是隐藏进程，还是隐藏CPU利用率，隐藏TCP连接，隐藏文件，甚至隐藏CPU风扇的狂转，均采用了相对底层的方案，一般的Rootkit检测很难检测到。

所谓的一般的Rootkit就是那些通常的hook，比方说hook系统调用，hook proc/sys接口，hook library等等，但是这些均是掩耳盗铃的鸵鸟策略，均不彻底。针对这些Rootkit，业内已经有很多的方法来检测：

定期检测重要文件的校验码。
检测text段内存。
…

然而我一一试了，检测不到我这些Rootkit。

最近很多朋友同事提醒我，为了不让这些方法诉诸恶意，我必须提供破解方案。

以下的代码可以检测我自己的Rootkit：

#include <linux/module.h>
#include <linux/kallsyms.h>#define TEXT_SIZE  0xff0000static int __init checker_init(void)
{s32 offset;int i = 0;unsigned char *pos;unsigned int *code;unsigned long *lcode, target;char *__text;// = 0xffffffff81000000;__text = (void *)kallsyms_lookup_name("_text");for (i = 0; i < TEXT_SIZE; i++) {pos = &__text[i];code = (unsigned int *)pos;// 0xe5894855 的含义就是 "push %rbp; mov %rsp,%rbp" 的字节码if (*code == 0xe5894855) {pos -= 5;lcode = (unsigned long *)pos;// 0x8948550000441f0f 的含义是 "nopl 0x0(%rax,%rax,1) [FTRACE NOP]" 的字节码if (*lcode != 0x8948550000441f0f && *pos == 0xe8) {offset = *(s32 *)&pos[1];target = (unsigned long)__text + i + offset;// 如果call指令的target越过了内核的text区域，则有被hook的可能if (target > (unsigned long)__text + TEXT_SIZE) {// 这里需要根据输出检测是不是“正规的kaptch”，若不是，则报告给经理！printk("## %llx  %llx   %x  %llx\n", *lcode, __text + i - 5, offset, target);}}}}return -1;
}module_init(checker_init);
MODULE_LICENSE("GPL");

我加载了之前的那个隐藏进程和TCP连接(仅仅hook tcp的seq show函数的版本)的rootkit，然后加载我这个新模块，看看效果：

[ 2234.422336] ## 8948551f0650ebe8  ffffffff810b4f10   1f0650eb  ffffffffa011a000
[ 2234.422340] ## 8948551f06504be8  ffffffff810b4fb0   1f06504b  ffffffffa011a000
[ 2234.430383] ## 8948551eb9d16be8  ffffffff81585e90   1eb9d16b  ffffffffa0123000

我们看看这些地址意味着什么。

crash> dis ffffffff810b4f10 1
0xffffffff810b4f10 <account_user_time>: callq  0xffffffffa011a000
crash> dis ffffffff810b4fb0 1
0xffffffff810b4fb0 <account_system_time>:       callq  0xffffffffa011a000
crash> dis ffffffff81585e90 1
0xffffffff81585e90 <tcp4_seq_show>:     callq  0xffffffffa0123000

是不是一下子就查出来了呢！

总结下来就是：

检测内核text段的所有call/jmp指令，只要target越过了text段范围，即有可能被hook了！

至于说如何扫描call/jmp指令，那就是另一个话题了。

背后的意思是， 一般而言，内核函数不会调用模块里的函数的。

再次提示，不要拿这些手艺去做不好的事情，不然经理会不高兴。

浙江温州皮鞋湿，下雨进水不会胖！

如何检测Linux内核的Rootkit相关推荐

使用Intel XED检测Linux内核是否被rootkit控制
接着上文继续说: https://blog.csdn.net/dog250/article/details/105474909 我一心一意想写一个指令解析器,我的目的是扫描出Linux内核text段中 ...
一个基于 LKM 的 Linux 内核级 rootkit 的实现
博客已迁移至:https://gls.show/ GitHub链接演示Slides overview rootkit是一种恶意软件,攻击者可以在获得 root 或管理员权限后安装它,从而隐藏入侵并保 ...
论文中文翻译——Double-Fetch情况如何演变为Double-Fetch漏洞：Linux内核中的双重获取研究
本论文相关内容论文下载地址--Web Of Science 论文中文翻译--How Double-Fetch Situations turn into Double-Fetch Vulnerabil ...
使用rkhunter检测Linux的rootkit
转载来源 :使用rkhunter检测Linux的rootkit : https://www.jianshu.com/p/9a5fcd4b236b 介绍 rootkit是Linux平台下最常见的一种木马 ...
为Linux内核text段计算SHA1摘要以检测篡改
在上文中,左右手互搏,最终成功将二进制stub函数注入到了Linux内核的text段本身,逃过了jmp/call的越界检测: https://blog.csdn.net/dog250/article/ ...
linux 内核死锁检查,一种linux内核自旋锁死锁检测报告系统和方法与流程
本发明涉及内核死锁检测领域,具体的说是一种linux内核自旋锁死锁检测报告系统和方法. 背景技术: linux内核死锁是长期困扰内核开发人员的问题之一,但自内核引入lockdep调试模块之后,内核死锁 ...
Openwrt按键检测分析-窥探Linux内核与用户空间通讯机制netlink使用
首先看一下Openwrt系统中关于按键功能的使用和修改,以18.06版本为例按键功能实现在脚本中, 比如18.06/package/base-files/files/etc/rc.button/re ...
Linux内核漏洞精准检测如何做？SCA工具不能只在软件层面
摘要:二进制SCA工具要想更好的辅助安全人员实现安全审计.降低漏洞检测的误报率,必须向更细颗粒度的检测维度发展,而不仅仅停留在开源软件的层面,同时对漏洞库的要求也需要向细颗粒度的精准信息提出的挑战. ...
攻击者可提前检测到 Linux 内核的补丁并开发 exploit
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队宝马.西门子和两所德国大学的研究人员发现,他们可以在Linux 内核修复方案发布之前检测到这些方案,而这些信息可导致攻击者开发并部署e ...
linux内核内存溢出检测,linux下有什么检测内存溢出的工具
Linux c++上常用内存泄露检测工具有valgrind, Rational purify.Valgrind免费.Valgrind 可以在 32 位或 64 位 PowerPC/Linux 内核上工 ...

如何检测Linux内核的Rootkit

如何检测Linux内核的Rootkit相关推荐

最新文章

热门文章