HijackingLinuxPageFaultHandlerExceptionTable中文版_prefetchfaultlinux资源-CSDN文库

5星 · 超过95%的资源需积分: 10 116 浏览量 2008-01-13 19:44:55 上传评论收藏 223KB PDF 举报

资源推荐

资源详情

资源评论

中

文

版

原文作者：buffer <mailto:buffer@antifork.org>

译者：wzhou <mailto:z-l-dragon@hotmail.com>

内容

1. 介绍

系统调用和访问用户空间

缺页异常

实现

进一步考虑

6. 结论

参考资料

译者后记

介绍

“只是又一篇介绍Linux下的内核模块的文章”...当看到这篇文章的时候，你可能这么想，但

我认为你错了。在过去几年里，我们看到很多利用LKM

来隐藏各种各样东西的技术，比如隐藏

进程，网络连接，文件，等等等等。这些技术很容易理解，但真正的问题是它们很容易被检测出

来。如果你替换了系统调用表中的某个地址，或者你覆写了系统调用代码的头 7 个字节（象

Silvio Cesare在【

参考资料 4】中描述的那样），象Kstat【参考资料 5】或Angel【参考资

料 6】这样的工具是很容易鉴别出这些黑客行为的。之后出现了更复杂的技术。比如kad提出了

一项蛮有趣的技术，他建议通过修改中断描述符表

（IDT），用新的异常处理器地址取代IDT项

中原来的地址，并由用户空间代码触发该异常（比如“除零错”异常）这种方式来重定向以执行

新的异常处理器

，在【参考资料 7】中有介绍。这个主意不错，但有两点不足：

1. 这种黑客技术能被基于对整个 IDT 进行哈希计算的方法检测到，就象最新版的 Angel

（0.9.x 版）做的。这主要是由于处于内核空间的 IDT 表的地址很容易被获得，因为该值

存储在%idtr 寄存器中，而该寄存器可以用汇编指令 sidt 读取并允许存储该值到某个变

量中。

2. 如果用户代码执行了除零操作（它可能发生...）可能出现奇怪的行为。是的，如果我们选

择了合适的（除零异常）处理器（handler），有人可能认为这有点不太正常。如果有什么

比较安全的方法，那是什么呢？

我提出的方法只有一个目的：提供有效的“秘密行动”来对抗各种用于鉴别黑客型 LKM 的工具。

该技术基于在现实中从没有被用到过的一种内核特性（译者：我不知道作者为什么这么说？）。

LKM指Loadable Kernel Module,即可载入内核模块

中断描述符表是x86 架构的CPU最核心的资源之一，用于存放处理各种中断/异常的处理器函数的地址

这里所谓的新的异常处理器及时黑客种的“后门”

实际上，正象我们将要看到的，我们将研究内存管理子系统中的一种通用保护机制。如果用户代

码有严重 bug（译者注：传递非法指针给系统调用），该机制才会被触发，而这是较少出现的。

废话少说，让我们开始吧！

系统调用和访问用户空间

首先，先谈一点理论。我这里引用的是 2.4.20 的 Linux 内核，其实代码同 2.2 内核的几乎是

相同的。我们尤其感兴趣的是当通过系统调用来请求内核特性时，在某些情况下发生的事情。当

用户代码调用系统调用时（通过软件中断 0x80），system_call()异常处理器被执行。让我们

看一下在 arch/i386/kernel/entry.S 文件中的实现代码。

ENTRY(system_call)

pushl %eax # save orig_eax

SAVE_ALL

GET_CURRENT(%ebx)

testb $0x02,tsk_ptrace(%ebx) # PT_TRACESYS

jne tracesys

cmpl $(NR_syscalls),%eax

jae badsys

call *SYMBOL_NAME(sys_call_table)(,%eax,4)

movl %eax,EAX(%esp) # save the return value

[..]

我们很容易看出，system_call()把所有寄存器值保存在内核堆栈里

，然后通过调用

GET_CURRENT(%ebx)获得指向当前运行进程的task_struct结构的指针。接着是检查系统调

用号的正确性和当前进程是否正被追踪。最后通过sys_call_table来调用对应的系统调用。

sys_call_table维护着系统调用的函数地址，以存放在%eax寄存器中的系统调用号为该表的

偏移即可找到对应的函数地址。现在让我们看一下某些特定的系统调用。就我们的目的而言，我

们只要找到接受用户空间指针为参数的系统调用即可。我选择了sys_ioctl，但选择有相似行

为的另外一些系统调用也可以。

asmlinkage long sys_ioctl(unsigned int fd, unsigned int cmd, unsigned long

arg)

{

struct file * filp;

unsigned int flag;

int on, error = -EBADF;

[..]

case FIONBIO:

if ((error = get_user(on, (int *)arg)) != 0)

break;

系统调用的函数地址表

通过SAVE_ALL宏

jae bad_get_user

3: movl -3(%eax),%edx

xorl %eax,%eax

ret

bad_get_user:

xorl %edx,%edx

movl $-14,%eax

ret

.section __ex_table,"a"

.long 1b,bad_get_user

.long 2b,bad_get_user

.long 3b,bad_get_user

.previous

在.section与.previos之间的最后几行标识了异常处理器表。由于它对于我们目的的重要

current->addr_limit.seg 进行比较(该值存放在距离任务描述符其实

果该参式可寻址范围内(PAGE_OFFSET 以下) 法地址空间之

缺页异常

“当被寻址的页面不在物理内存中，相应的页表项是空的，或违反了页面保护机制，缺页异常就

性，我们将在后面讨论该表。正象上面看到的，__get_user_4()的实现代码是很直白的

。参

数地址在%eax寄存器中。通过给%eax中的值加 3，可能获得最高的用户空间地址，这里是检查

一下该地址是否在用户模式可寻址范围之内(从 0x00000000 到 PAGE_OFFSET – 1，

PAGE_OFFSET通常是 0xC0000000)。

用户空间地址和

把

地址 12 字节的偏移处，而当前进程的任务描述符可以通过对内核堆栈指针的最后 13 位清零来

获得)，如果我们发现它大于 PAGE_OFFSET – 1，则跳转到标号为 bad_get_user 处，对%edx

清零，把-EFAULT(-14)存入%eax 中(系统调用的返回值放在%eax 中)。

数的地址在用户模，但在进程合

如

外，会发生什么呢？那就是被有人称为 Page Fault(页故障或缺页错)的。

会发生。”【

参考资料 1】

Linux 用 do_page_fault() 函数来处理缺页异常。该处理器的代码在

模式触发的缺页异常的 3 种情况。

一种情况，“内核试图寻址属于进程地址空间的某页，但或者相应的页帧不在物理内存里（按

arch/i386/mm/fault.c 文件中。

们尤其感兴趣的是在内核

我

第

需调页），或者内核试图写只读页（写时复制）。”【

参考资料 1】

这当然是在你熟悉汇编语言的情况下。

剩余17页未读，继续阅读

评论收藏

内容反馈

warriorpaw

2013-08-30

在这谢过LZ了，英文正啃不动，搜索下标题看见你翻译的了，非常感谢
u010019158

2013-10-11

这个文章很经典，适合阅读研究

wzhou1974

粉丝: 5
资源: 33

Hijacking Linux Page Fault Handler Exception Table中文版

最新资源

Hijacking Linux Page Fault Handler Exception Table中文版

Hijacking the Linux Kernel.pdf

Android Hijacking（安卓劫持）

DNS hijacking without exploration.pdf

Session Hijacking

KEPLER__Facilitating_Control-flow_Hijacking_Primitive_Evaluat

第一百一十三课：COM Hijacking1

DLL-hijacking

dll-hijacking:dll代理

Perl Advanced TCP Hijacking-开源

PyPI 官网下载 | probator-auditor-domain-hijacking-1.0.2.tar.gz

Windows内核劫持不是一个选项MemoryRanger再次出手相救_Windows Kernel Hijacking Is

Linux渗透中文文章汇总合集

Hijack linux system calls rootkit:劫持 linux 系统调用-开源

CEHv9 Module 10 Session Hijacking (1).pdf

mininet_tcp_hijacking:这是使用Mininet和Ettercap的TCP劫持（telnet）的演示

SessionHijacking

comodo lesk tests (clt) v1.1.0.3

dt002g_Intent_Hijacking_Group10:该存储库保留了三个应用程序的最终实现，这些应用程序用于演示在现代Android设备中执行意图劫持的可能性

google web toolkit

max30102实战资料，全部免费开源，包含硬件设计，下位机程序，上位机程序，结构设计

VMware Workstation 16虚拟机安装包

FinalShell安装包，让用户通过SSH、Telnet或者RDP等协议连接到远程服务器或设备，实现远程控制和管理

Ubuntu微信Linux版（非Wine版）

iStoreOS-PassWall

vdhcoapp 2.0.19 linux版本，配合video downloadhelper使用

黑白群晖 DSM7.X 监控套件 SurveillanceStation-x86-64-9.1.1-10728 学习版

Kylin-Server-V10-SP3-General-Release-2212-X86-64.7z.001

openssh-server离线安装包

SecureCRT工具

最新资源