Linux中实现系统调用时是利用了i386体系结构中的软中断,通过产生0x80中断,使程序由用户态进入内核态执行系统调用函数。当系统调用发生时,产生0x80中断,CPU被切换到内核态执行中断向量表IDT对应的0x80中断处理函数,即跳转到了system_call()的入口,system_call()函数检查系统调用号,到系统调用表sys_call_table中找到该系统调用(号)对应的内核函数入口,接着调用这个内核函数,然后返回。
那么要修改系统调,只需要在sys_call_table中将原有的系统调用替换为自己写的新系统调用就可以了。但是这对用户来说无疑是个巨大的安全隐患。在2.4内核中sys_call_table是直接导出的,使改变系统调用函数变得很容易,出现了很多安全问题(后门程序)。在2.6内核中已经没有将sys_call_table导出了。所以我们第一件要做的事情就要想办法“重新”导出sys_call_table,找到其地址。
(一) 导出sys_call_table
1、首先我们在Sysmap中查看sys_call_table 地址。
[root@sun ~]# grep sys_call_table /boot/System.map-2.6.35.6-45.fc14.i686 c07ae328 R sys_call_table其中 R 直接显示了这段内存是只读的性质,这就引出了第二步骤“取消页读写保护”。
2、可以直接修改内核源码,自己导出sys_call_table,然后再编译内核。这个办法耗时,不可移植。
修改过程分为三步: 1、修改arch/x86/kernel/entry_32.S 将语句 -.section .rodata,"a" 替换为 +.section .data,"aw" 将sys_call_table设置为可读可写 2、修改kernel/kallsyms.c,到处sys_call_table符号 +extern void *sys_call_table; +EXPORT_SYMBOL(sys_call_table); 3、在自己的模块程序中声明sys_call_table并使用 extern void *sys_call_table[]; old_entry = sys_call_table[285]; sys_call_table[285] = sys_storeint; |
3、从中断向量表获取系统调用符号表sys_call_table。(采用)
unsigned long* find_sys_call_table(void) { // 中断描述符表寄存器结构 struct { unsigned short limit; unsigned int base; } __attribute__ ( ( packed ) ) idtr; // 中断描述符表结构 struct { unsigned short offset_low; unsigned short segment_select; unsigned char reserved, flags; unsigned short offset_high; } __attribute__ ( ( packed ) ) * idt; unsigned long system_call = 0; // x80中断处理程序system_call 地址 char *call_hex = "\xff\x14\x85"; // call 指令 char *code_ptr = NULL; char *p = NULL; unsigned long sct = 0x0; int i = 0; //通过sidt指令获得中断描述表寄存器内容放入idtr,通过idtr.base即可得到idt的基地址 __asm__ ( "sidt %0": "=m" ( idtr ) ); idt = ( void * ) ( idtr.base + 8 * 0x80 ); system_call = ( idt->offset_high << 16 ) | idt->offset_low; code_ptr = (char *)system_call; for(i = 0;i < ( 100 - 2 ); i++) { if(code_ptr[i] == call_hex[0] && code_ptr[i+1] == call_hex[1] && code_ptr[i+2] == call_hex[2] ) { p = &code_ptr[i] + 3; break; } } if ( p ){ sct = *(unsigned long*)p; } return (unsigned long*)sct; }
实现原理:
在linux中使用0x80异常实现系统调用,因此,主要通过先获取中断向量表,然后或许0x80中断处理函数(系统调用处理函数system_call())地址,最后根据system_call()编码特点找到 sys_call_table。(1)中断向量表的获取
在x86中,idtr寄存器使得中断向量表可以存放在内存的任何位置,idtr寄存器有一个基地址和一个段限地址组成,高4字节为基地址,低2字节为段限地址。可以通过sidt指令获得idtr的内容。
// 中断描述符表寄存器结构
struct {
unsigned short limit;
unsigned int base;
} __attribute__ ( ( packed ) ) idtr;
__asm__ ( "sidt %0": "=m" ( idtr ) );
通过sidt指令获得中断描述表寄存器内容放入idtr,通过idtr.base即可得到idt的基地址
(2)系统调用处理函数地址的获取
IDT基地址存放的是中断门,每个门8个字节,门描述符的格式参考Intel开发手册,其中,中断门是最低两个字节和最高两个字节构成了中断处理程序的地址。
// 中断描述符表结构
struct {
unsigned short offset_low;
unsigned short segment_select;
unsigned char reserved, flags;
unsigned short offset_high;
} __attribute__ ( ( packed ) ) * idt;
获取系统调用中断处理程序sys_call()的地址:
idt = ( void * ) ( idtr.base + 8 * 0x80 );
system_call = ( idt->offset_high << 16 ) | idt->offset_low;
(3)获取系统调用表sys_call_table
system_call是所有系统调用的处理程序,在进行必要的处理后,统一调用 call sys_call_table(,eax,4)来调用sys_call_table表中的系统调用服务,eax存放的即时系统调用号,因此,获取sys_call_table的地址即可以达到目的。
通过反汇编sys_call函数,可以得知,只有在调用系统调用处使用了call指令,x86 call指令的二进制格式为\xff\x14\x85,因此,我们可以从sys_call函数开始进行搜索,当出现\xff\x14\x85指令的时候,即为call的地址,从而能得到存放sys_call_table的地址即当前地址+3,而系统调用表即地址的内容,因此,获取系统调用表地址的实现过程就简单了。
code_ptr = (char *)system_call;
for(i = 0;i < ( 100 - 2 ); i++) {
if(code_ptr[i] == call_hex[0]
&& code_ptr[i+1] == call_hex[1]
&& code_ptr[i+2] == call_hex[2] ) {
p = &code_ptr[i] + 3;
break;
}
}
if ( p ){
sct = *(unsigned long*)p;
}
这是通过简单的搜索的方式来找到call 指令,从而得到sys_call_table的地址的。
(二)取消sys_call_table页表的写保护
我们在上述看到sys_call_table只是可读的,那么我们就没法修改系统调用符号表,用自己写的系统调用函数替换原有函数。所有我们需要取消页的读写保护。
1、使用change_page_attr()函数。但是经查证在2.6.25以后就取消掉了该函数,故以下方法在本系统(2.6.35.6)中已经失效了,不能编译通过
static int set_page_rw(long unsigned int _addr) { struct page* pg; pgprot_t prot; pg = virt_to_page(_addr); prot.pgprot = VM_READ| VM_WRITE; return change_page_attr(pg, 1, prot); } static int set_page_ro(long unsigned int _addr) { struct page* pg; pgprot_t prot; pg = virt_to_page(_addr); prot.pgprot = VM_READ; return change_page_attr(pg, 1, prot); }
原理:对于Intel 80486或以上的CPU,CR0的位16是写保护(Write Proctect)标志。当设置该标志时,处理器会禁止超级用户程序(例如特权级0的程序)向用户级只读页面执行写操作;当该位复位时则反之。该标志有利于UNIX类操作系统在创建进程时实现写时复制(Copy on Write)技术。
/* FUNCTION TO DISABLE WRITE PROTECT BIT IN CPU */ static void disable_wp(void) { unsigned int cr0_value; asm volatile ("movl %%cr0, %0" : "=r" (cr0_value)); /* Disable WP */ cr0_value &= ~(1 << 16); asm volatile ("movl %0, %%cr0" :: "r" (cr0_value)); } /* FUNCTION TO RE-ENABLE WRITE PROTECT BIT IN CPU */ static void enable_wp(void) { unsigned int cr0_value; asm volatile ("movl %%cr0, %0" : "=r" (cr0_value)); /* Enable WP */ cr0_value |= (1 << 16); asm volatile ("movl %0, %%cr0" :: "r" (cr0_value)); }
在前面的基础上,写一个自己的open系统调用。自己的系统调用中加入对打开文件的记录,并打印记录,最后在调用原始系统调用open(注意:如果最后不调用原始open函数,那么会带来极大的灾难,例如mkdir等很多命令不能使用)。本模块在2.6.35.6内核中编译、安装通过。
syscall.c
#include <linux/kernel.h> #include <linux/module.h> #include <linux/moduleparam.h> #include <linux/unistd.h> #include <linux/init.h> /* * For the current (process) structure, we need * this to know who the current user is. */ #include <linux/sched.h> #include <asm/uaccess.h> #include <asm/cacheflush.h> static unsigned long **sys_call_table; unsigned long* find_sys_call_table(void) { struct { unsigned short limit; unsigned int base; } __attribute__ ( ( packed ) ) idtr; struct { unsigned short offset_low; unsigned short segment_select; unsigned char reserved, flags; unsigned short offset_high; } __attribute__ ( ( packed ) ) * idt; unsigned long system_call = 0; // x80中断处理程序system_call 地址 char *call_hex = "\xff\x14\x85"; // call 指令 char *code_ptr = NULL; char *p = NULL; unsigned long sct = 0x0; int i = 0; __asm__ ( "sidt %0": "=m" ( idtr ) ); idt = ( void * ) ( idtr.base + 8 * 0x80 ); system_call = ( idt->offset_high << 16 ) | idt->offset_low; code_ptr = (char *)system_call; for(i = 0;i < ( 100 - 2 ); i++) { if(code_ptr[i] == call_hex[0] && code_ptr[i+1] == call_hex[1] && code_ptr[i+2] == call_hex[2] ) { p = &code_ptr[i] + 3; break; } } if ( p ){ sct = *(unsigned long*)p; } return (unsigned long*)sct; } /* FUNCTION TO DISABLE WRITE PROTECT BIT IN CPU */ static void disable_wp(void) { unsigned int cr0_value; asm volatile ("movl %%cr0, %0" : "=r" (cr0_value)); /* Disable WP */ cr0_value &= ~(1 << 16); asm volatile ("movl %0, %%cr0" :: "r" (cr0_value)); } /* FUNCTION TO RE-ENABLE WRITE PROTECT BIT IN CPU */ static void enable_wp(void) { unsigned int cr0_value; asm volatile ("movl %%cr0, %0" : "=r" (cr0_value)); /* Enable WP */ cr0_value |= (1 << 16); asm volatile ("movl %0, %%cr0" :: "r" (cr0_value)); } /* * UID we want to spy on - will be filled from the * command line */ static int uid; module_param(uid, int, 0644); asmlinkage int (*original_call) (const char *, int, int); asmlinkage int our_sys_open(const char *filename, int flags, int mode) { int i = 0; char ch; /* * Check if this is the user we're spying on */ if (uid == current->cred->uid) { //2.6.35 中current->cred->uid printk("Opened file by %d: ", uid); do { get_user(ch, filename + i); i++; printk("%c", ch); } while (ch != 0); printk("\n"); } /* * Call the original sys_open - otherwise, we lose * the ability to open files */ return original_call(filename, flags, mode); } /* * Initialize the module - replace the system call */ unsigned int cr0; int init_module() { sys_call_table=find_sys_call_table(); disable_wp(); original_call=sys_call_table[__NR_open]; sys_call_table[__NR_open] = (long*)our_sys_open; printk("Spying on UID:%d\n", uid); return 0; } /* * Cleanup - unregister the appropriate file from /proc */ void cleanup_module() { sys_call_table[__NR_open] = (long *)original_call; enable_wp(); } MODULE_LICENSE("GPL");
obj-m:=syscall.o all: make -C /usr/src/kernels/$(shell uname -r) M=$(shell pwd) modules clean: make -C /usr/src/kernels/$(shell uname -r) M=$(shell pwd) clean
学习参考:
linux 系统调用中断劫持实现—原理和代码。
http://blog.sina.com.cn/s/blog_596d00a70100jpa7.html
The Linux Kernel Module Programming Guide(chapter 8)
http://www.tldp.org/LDP/lkmpg/2.6/html/