Linux操作系統(tǒng)下隱藏文件的新方法

目前通用的隱藏文件方法還是hooksys_getdents64系統(tǒng)調(diào)用， 大致流程就是先調(diào)用原始的sys_getdents64系統(tǒng)調(diào)用，然后在在buf中做過(guò)濾。修改sys_call_table是比較原始的rk技術(shù)了，碰到好點(diǎn)的管理員， 基本上gdb一下vmlinux就能檢測(cè)出來(lái)。 如何想做到更加隱蔽的話，就要尋找新的技術(shù)。 inline hook也是目前比較流行的做法，不容易檢測(cè)。本文通過(guò)講解一種利用inline hook內(nèi)核中某函數(shù)， 來(lái)達(dá)到隱藏文件的方法。

二. 剖析sys_getdnts64系統(tǒng)調(diào)用

想隱藏文件， 還是要從sys_dents64系統(tǒng)調(diào)用下手。 去看下它在內(nèi)核中是如何實(shí)現(xiàn)的。

代碼在linux-2.6.26/fs/readdir.c中：

asmlinkage long sys_getdents64(unsigned int fd, struct linux_dirent64
__user * dirent, unsigned int count)
    {
    struct file * file;
    struct linux_dirent64 __user * lastdirent;
    struct getdents_callback64 buf;
    int error;

    error = -EFAULT;
    if (!access_ok(VERIFY_WRITE, dirent, count))
    goto out;

    error = -EBADF;
    file = fget(fd);
    if (!file)
    goto out;

    buf.current_dir = dirent;
    buf.previous = NULL;
    buf.count = count;
    buf.error = 0;

    error = vfs_readdir(file, filldir64, &buf);
    if (error < 0)
    goto out_putf;
    error = buf.error;
    lastdirent = buf.previous;
    if (lastdirent) {
    typeof(lastdirent->d_off) d_off = file->f_pos;
    error = -EFAULT;
    if (__put_user(d_off, &lastdirent->d_off))
    goto out_putf;
    error = count - buf.count;
    }

    out_putf:
    fput(file);
    out:
    return error;
    }

首先調(diào)用access_ok來(lái)驗(yàn)證是下用戶(hù)空間的dirent地址是否越界，是否可寫(xiě)。 接著根據(jù)fd，利用fget找到對(duì)應(yīng)的file結(jié)構(gòu)。 接著出現(xiàn)了一個(gè)填充buf數(shù)據(jù)結(jié)構(gòu)的操作，先不管它是干什么的，接著往下看。

vfs_readdir(file, filldir64, &buf);

函數(shù)最終還是調(diào)用vfs層的vfs_readdir來(lái)獲取文件列表的。 到這，我們可以是否通過(guò)hookvfs_readdir來(lái)達(dá)到隱藏文件的效果呢。 繼續(xù)跟蹤vfs_readdir看看這個(gè)想法是否可行。

源代碼在同一文件中：

int vfs_readdir(struct file *file, filldir_t filler, void *buf)
    {
    struct inode *inode = file->f_path.dentry->d_inode;
    int res = -ENOTDIR;
    if (!file->f_op || !file->f_op->readdir)
    goto out;

    res = security_file_permission(file, MAY_READ);
    if (res)
    goto out;

    res = mutex_lock_killable(&inode->i_mutex);
    if (res)
    goto out;

    res = -ENOENT;
    if (!IS_DEADDIR(inode)) {
    res = file->f_op->readdir(file, buf, filler);
    file_accessed(file);
    }
    mutex_unlock(&inode->i_mutex);
    out:
    return res;
    }
EXPORT_SYMBOL(vfs_readdir);

它有3個(gè)參數(shù)，第一個(gè)是通過(guò)fget得到的file結(jié)構(gòu)指針， 第2個(gè)通過(guò)結(jié)合上下文可得知，這是一個(gè)回調(diào)函數(shù)用來(lái)填充第3個(gè)參數(shù)開(kāi)始的用戶(hù)空間的指針。 接著看看它具體是怎么實(shí)現(xiàn)的。

通過(guò)security_file_permission()驗(yàn)證后， 在用mutex_lock_killable()對(duì)inode結(jié)構(gòu)加了鎖。然后調(diào)用ile->f_op->readdir(file, buf, filler);通過(guò)進(jìn)一步的底層函數(shù)來(lái)對(duì)buf進(jìn)行填充。這個(gè)buf就是用戶(hù)空間strcut dirent64結(jié)構(gòu)的開(kāi)始地址。

所以到這里我們可以斷定通過(guò)hook vfs_readdir函數(shù)對(duì)buf做過(guò)濾還是可以完成隱藏文件的功能。而且vfs_readdir的地址是導(dǎo)出的， 這樣就不用復(fù)雜的方法找它的地址了。

但是還有沒(méi)有更進(jìn)一步的方法呢？ 前面不是提到過(guò)有個(gè)filldir64函數(shù)嗎， 它用來(lái)填充buf結(jié)構(gòu)的。也許通過(guò)hook它來(lái)做更隱蔽的隱藏文件方法。 繼續(xù)跟蹤filldir64，看看它是怎么實(shí)現(xiàn)的。

static int filldir64(void * __buf, const char * name, int namlen, loff_t offset,
    u64 ino, unsigned int d_type)
    {
    struct linux_dirent64 __user *dirent;
    struct getdents_callback64 * buf = (struct getdents_callback64 *) __buf;
    int reclen = ALIGN(NAME_OFFSET(dirent) + namlen + 1, sizeof(u64));

    buf->error = -EINVAL;
    if (reclen > buf->count)
    return -EINVAL;
    dirent = buf->previous;
    if (dirent) {
    if (__put_user(offset, &dirent->d_off))
    goto efault;
    }
    dirent = buf->current_dir;
    if (__put_user(ino, &dirent->d_ino))
    goto efault;
    if (__put_user(0, &dirent->d_off))
    goto efault;
    if (__put_user(reclen, &dirent->d_reclen))
    goto efault;
    if (__put_user(d_type, &dirent->d_type))
    goto efault;
    if (copy_to_user(dirent->d_name, name, namlen))
    goto efault;
    if (__put_user(0, dirent->d_name + namlen))
    goto efault;
    buf->previous = dirent;
    dirent = (void __user *)dirent + reclen;
    buf->current_dir = dirent;
    buf->count -= reclen;
    return 0;
    efault:
    buf->error = -EFAULT;
    return -EFAULT;
    }

先把參數(shù)buf轉(zhuǎn)換成struct getdents_callback64的結(jié)構(gòu)指針。

struct getdents_callback64 {
    struct linux_dirent64 __user * current_dir;
    struct linux_dirent64 __user * previous;
    int count;
    int error;
    };

current_dir始終指向當(dāng)前的struct dirent64結(jié)構(gòu)，filldir64每次只填充一個(gè)dirent64結(jié)構(gòu)。

它是被file->f_op->readdir循環(huán)調(diào)用的。 通過(guò)代碼可以看出是把dirent64結(jié)構(gòu)的相關(guān)項(xiàng)拷貝到用戶(hù)空間的dirent64結(jié)構(gòu)中， 然后更新相應(yīng)的指針。

所以通過(guò)分析filldir64代碼， 可以判定通過(guò)判斷參數(shù)name，看它是否是我們想隱藏的文件，是的話，return 0就好了。

三. 擴(kuò)展

通過(guò)分析sys_getdents64代碼的實(shí)現(xiàn)，我們可以了解到通過(guò)hook內(nèi)核函數(shù)的方法，來(lái)完成rootkit的功能是很簡(jiǎn)單和方便的。 關(guān)鍵你能了解它的實(shí)現(xiàn)邏輯。 對(duì)linux平臺(tái)來(lái)說(shuō)，閱讀內(nèi)核源代碼是開(kāi)發(fā)rootkit的根本。 如何hook？ 最簡(jiǎn)單的就是修改函數(shù)的前幾個(gè)字節(jié)，jmp到我們的新函數(shù)中去， 在新函數(shù)完成類(lèi)似函數(shù)的功能。 根本不必在跳回原函數(shù)了， 有了內(nèi)核源代碼在手，原函數(shù)怎么實(shí)現(xiàn)，我們就怎么copy過(guò)去給它在實(shí)現(xiàn)一次。 所在linux實(shí)現(xiàn)rk也有很方便的一點(diǎn)，就是它的內(nèi)核源代碼是公開(kāi)的， 好好閱讀源代碼吧， 你會(huì)有更多的收獲。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]