मॉड्यूल को 2010 के वर्ष में मेरे मास्टर थीसिस के एक भाग के रूप में बनाया गया था। मास्टर थीसिस विषय लिनक्स कर्नेल में कीलिंग है । मुख्य विचार x64 आर्च लिनक्स कर्नेल के लिए सिस्टम कॉल को इंटरसेप्ट करने के तरीके का पता लगाना था, खासकर कर्नेल 2.6.34.7-61.fc13.x86_64 के लिए।

परिचय

X32 आर्च के लिए सिस्टम कॉल इंटरसेप्शन के बारे में बहुत सारे अलग-अलग लेख थे। एक शोध के एक हिस्से के रूप में, मुझे लिनक्स-कर्नेल मॉड्यूल के माध्यम से x86_64 आर्च के लिए सिस्टम कॉल को कैसे रोकना है, इस मुद्दे का सामना करना पड़ा।

हम सिस्टम कॉल को कैसे रोक सकते हैं?

1. Syscall तालिका पता ज्ञात करें।
2. मूल प्रणाली कॉल को नए द्वारा बदलें।

Syscall तालिका पता

IDT ( I nterrupt D escription T सक्षम) सीमा अवरोधक हैंडलर और रुकावट कोड । संरक्षित मोड में, IDT मेमोरी में संग्रहीत वर्णनकर्ताओं का एक सरणी है। प्रत्येक प्रोसेसर में एक विशेष आईडीटीआर रजिस्टर होता है। रजिस्टर में IDT भौतिक पता और IDT लंबाई शामिल है। पहली धारणा IDTR रजिस्टर से IDT पता प्राप्त करना था और उसके बाद syscall टेबल एड्रेस की गणना करना था। हालाँकि, यह धारणा गलत थी, क्योंकि उस स्थिति में, हमें x32 हैंडलर का पता मिला।

दूसरी धारणा अधिक दिलचस्प थी। जारी रखने से पहले, मैं MSR (Macodell Specific R egister) का वर्णन करना चाहूंगा। एक MSR डिबगिंग, प्रोग्राम एक्जीक्यूटिव ट्रेसिंग, कंप्यूटर परफॉर्मेंस मॉनिटरिंग और कुछ CPU फीचर्स को टॉगल करने के लिए उपयोग किए जाने वाले x86 इंस्ट्रक्शन सेट में विभिन्न कंट्रोल रजिस्टर में से कोई है। MSR_LSTAR बारे में बात करते हैं - 0xc0000082 (लंबी मोड SYSCALL लक्ष्य)। आप पूरी सूची /usr/include/asm/msr-index.h पर प्राप्त कर सकते हैं।

MSR_LSTAR स्टोर सिस्टम x86-64 आर्किटेक्चर के लिए कॉल एंट्री है। आप पता प्राप्त कर सकते हैं:

 int i, lo, hi; asm volatile("rdmsr" : "=a" (lo), "=d" (hi) : "c" (MSR_LSTAR)); system_call = (void*)(((long)hi<<32) | lo); 

आगे चलते हैं। मुझे पता मिल गया था और \xff\x14\xc5 खोज रहा था। \xff\x14\xc5 एक जादुई संख्या है। यदि आप कर्नेल 2.6.34.7-61.fc13.x86_64 कोड के माध्यम से देखते हैं, विशेष रूप से, फ़ंक्शन system_call , तो आपको पता चलेगा कि अगले 4 बाइट्स syscall_table पते हैं।

हम syscall टेबल एड्रेस को जानते थे, इसका मतलब था कि हम एक syscall हैंडलर एड्रेस प्राप्त कर सकते हैं और इसे इंटरसेप्ट कर सकते हैं।

स्रोत कोड:

 unsigned char *ptr; for (ptr=system_call, i=0; i<500; i++) { if (ptr[0] == 0xff && ptr[1] == 0x14 && ptr[2] == 0xc5) return (void*)(0xffffffff00000000 | *((unsigned int*)(ptr+3))); ptr++; } 

सिस्टम कॉल इंटरसेप्शन

मैंने एक मुद्दे का सामना किया। सिस्टम कॉल टेबल में एक पता बदलने के मामले में एक त्रुटि थी। सौभाग्य से, यह पाई के रूप में आसान था:

• स्मृति सुरक्षा अक्षम करें।
• एक syscall हैंडलर पते को फिर से लिखें।
• मेमोरी सुरक्षा सक्षम करें।

यदि आप स्मृति सुरक्षा को अक्षम करना चाहते हैं, तो आपको पता होना चाहिए: रजिस्टर CR0 में झंडे शामिल हैं। झंडे प्रोसेसर व्यवहार का प्रबंधन करते हैं। फ्लैग WP Write Protect , यह CR0 पर 48 वां बिट है।

स्मृति सुरक्षा अक्षम करें:

 asm("pushq %rax"); asm("movq %cr0, %rax"); asm("andq $0xfffffffffffeffff, %rax"); asm("movq %rax, %cr0"); asm("popq %rax"); 

स्मृति सुरक्षा सक्षम करें:

 asm("pushq %rax"); asm("movq %cr0, %rax"); asm("xorq $0x0000000000001000, %rax"); asm("movq %rax, %cr0"); asm("popq %rax"); 

निष्कर्ष

एक तरफ, सिस्टम कॉल इंटरसेप्शन से निपटने के लिए यह पर्याप्त होना चाहिए, लेकिन दूसरी ओर, मुझे यकीन नहीं है कि 2010 के बाद से कुछ भी नहीं बदला गया है। इसलिए इसका उपयोग करें। स्रोत कोड github.com/ultral/linux-keylogger पर उपलब्ध है ।

पुनश्च

• यह मेरे लेख का अनुवाद है।
• यह क्रॉसपोस्ट है ।
• स्रोत कोड