Rootkit技术 _原创精品文档.pdf

Rootkit技术

rootkit的主要分类

早期的rootkit主要为应用级rootkit，应用级rootkit主要通过替换login、ps、ls、netstat

等系统工具，或修改.rhosts等系统配置文件等实现隐藏及后门；硬件级rootkit主要指bios

rootkit，可以在系统加载前获得控制权，通过向磁盘中写入文件，再由引导程序加载该文件

重新获得控制权，也可以采用虚拟机技术，使整个操作系统运行在rootkit掌握之中；目前

最常见的rootkit是内核级rootkit。

内核级rootkit又可分为lkmrootkit、非lkmrootkit。lkmrootkit主要基于lkm技术，通

过系统提供的接口加载到内核空间，成为内核的一部分，进而通过hook系统调用等技术实

现隐藏、后门功能。非lkmrootkit主要是指在系统不支持lkm机制时修改内核的一种方法，

主要通过/dev/mem、/dev/kmem设备直接操作内存，从而对内核进行修改。

非lkmrootkit要实现对内核的修改，首先需要获得内核空间的内存，因此需要调用

kmalloc分配内存，而kmalloc是内核空间的调用，无法在用户空间直接调用该函数，因此

想到了通过int0x80调用该函数的方法。先选择一个不常见的系统调用号，在sys_call_table

中找到该项，通过写/dev/mem直接将其修改为kmalloc函数的地址，这样当我们在用户空

间调用该系统调用时，就能通过int0x80进入内核空间，执行kmalloc函数分配内存，并将

分配好的内存地址由eax寄存器返回，从而我们得到了一块属于内核地址空间的内存，接着

将要hack的函数写入该内存，并再次修改系统调用表，就能实现hook系统调用的功能。

rootkit的常见功能

隐藏文件：通过stracels可以发现ls命令其实是通过sys_getdents64获得文件目录的，

因此可以通过修改sys_getdents64系统调用或者更底层的readdir实现隐藏文件及目录，还

有对ext2文件系统直接进行修改的方法，不过实现起来不够方便，也有一些具体的限制。

隐藏进程：隐藏进程的方法和隐藏文件类似，ps命令是通过读取/proc文件系统下的进程目

录获得进程信息的，只要能够隐藏/proc文件系统下的进程目录就可以达到隐藏进程的效果，

即hooksys_getdents64和readdir等。

隐藏连接：netstat命令是通过读取/proc文件系统下的net/tcp和net/udp文件获得当前连

接信息，因此可以通过hooksys_read调用实现隐藏连接，也可以修改tcp4_seq_show和

udp4_seq_show等函数实现。

隐藏模块：lsmod命令主要是通过sys_query_module系统调用获得模块信息，可以通过

hooksys_query_module系统调用隐藏模块，也可以通过将模块从内核模块链表中摘除从而

达到隐藏效果。

嗅探工具：嗅探工具可以通过libpcap库直接访问链路层，截获数据包，也可以通过linux

的netfilter框架在IP层的hook点上截获数据包。嗅探器要获得网络上的其他数据包需要将

网卡设置为混杂模式，这是通过ioctl系统调用的SIOCSIFFLAGS命令实现的，查看网卡的

当前模式是通过SIOCGIFFLAGS命令，因此可以通过hooksys_ioctl隐藏网卡的混杂模式

密码记录：密码记录可以通过hooksys_read系统调用实现，比如通过判断当前运行的

进程名或者当前终端是否关闭回显，可以获取用户的输入密码。hooksys_read还可以实现

login后门等其它功能。

日志擦除：传统的unix日志主要在/var/log/messages，/var/log/lastlog，/var/run/utmp，/var

/log/wtmp下，可以通过编写相应的工具对日志文件进行修改，还可以将HISTFILE等环境

变设为/dev/null隐藏用户的一些操作信息。

内核后门：可以是本地的提权后门和网络的监听后门，本地的提权可以通过对内核模块

发送定制命令实现，网络内核后门可以在IP层对进入主机的数据包进行监听，