当前位置：首页 » 编程博文

开发技术指南» 文章正文

    引言： 通常LKM用来为系统提供额外的功能，而不用重新编译内核，例如：加载设备驱动程序和其它的硬件驱动程序等。

 

 

adore rootkit 分析
通常lkm用来为系统提供额外的功能,而不用重新编译内核,例如:加载设备驱动程序与其它的硬件驱动程序等.linux.solaris与bsd(free.net与open)等操作系统都使可加载内核模块实现系统的某些功能.某些rootkit能够利用这种机制,把自己作为内核的可加载模块运行,在内核层欺骗应用程序,而不用修改应用程序本身,因此比传统的rootkit具有更好的隐蔽性.现在lkm rootkit已经有好多种了,例如:slkm.knark与adore.本文对adore rootkit进行分析(注意:adore rootkit不是adore 蠕虫).

adore的源代码包括以下文件: 【程序编程相关:Eclipse tips】

adore是一个linux lkm(loadable kernel module)rootkit.作者是stealth.可以用于linux-2.2.x与linux-2.4.x系列的内核.其核心部分就是一个叫做adore.o的lkm.除此之外,还有一个用于隐藏adore.o的模块cleaner.o,一个控制工具ava,以及一个启动脚本startadore. 【推荐阅读:Eclipse中使用Emacs键绑定】

changelog 【扩展信息:Emacs 的jsp-mode】

license

makefile.gen <--如果configure脚本执行失败,可以使用这个文件

readme

todo

adore.c <--adore.o模块的源代码

adore.h

ava.c <--控制命令

cleaner.c <--cleaner.o模块的源代码,用于隐藏adore模块

configure <--安装脚本

dummy.c

libinvisible.c <--libinvisible是ava与adore模块之间的接口

libinvisible.h

rename.c

startadore <--启动脚本

2.adore模块

前面我们讲过,adore rootkit的核心部分是adore.o模块.在这个模块中,通过伪造一些系统调用,实现了进程的隐藏/重现.目录的隐藏/重现.控制进程(ava)的验证以及后门的隐藏等功能.这个模块中的函数大体可以分为:

1.伪造的系统调用

adore rootkit使用如下函数替代真正的系统调用:n_getdents.n_getdents64.n_fork.n_clone.n_kill.n_write.n_close.n_mkdir.n_oldstat.n_oldlstat.n_stat.n_lstat.n_stat64.n_lstat64.n_open.这些函数基本都是真正的相关系统调用封装.

2.模块的初始化.卸载函数(init_module.cleanup_module)

执行adore模块的初始化(使用伪造的系统调用替代原来的系统调用)与卸载模块的清理工作(恢复原始的系统调用等).

3.木马函数

包括:hide_process.remove_process.unhide_process.strip_invisible.unstrip_invisible.这些函数通过修改指定进程的进程控制块(task_struct)中的某些信息,实现进程的隐藏.删除与重现功能.

4.其它的辅助函数与宏

包括函数:my_atoi.my_find_task.is_invisible.is_secret.is_secret64.fp_put.fp_get 与宏:replale.restore.
...   下一页

» 本期热门文章：

· 热门栏目：

» 相关精选文章

» 其它相关：