如何轻松编写Rootkit:Linux内核系统调用拦截技术解析

用户5191495848452025-08-15 10:18

如何轻松编写Rootkit - Trail of Bits技术博客

我们开源了名为KRF的故障注入工具,它利用内核态系统调用拦截技术。您现在就可以使用它来发现程序中的错误假设(及由此产生的漏洞)。快来试试吧!

本文介绍如何通过普通内核模块在Linux内核中拦截系统调用。我们将快速回顾系统调用及其拦截意义,然后演示拦截read(2)系统调用的基础模块实现。

与其他故障注入策略有何不同?

其他故障注入工具主要依赖以下技术:

  1. LD_PRELOAD技巧:拦截libc暴露的系统调用包装函数。存在明显缺陷:

    • 仅适用于动态链接场景(Go等新语言和静态编译趋势使其适用性降低)
    • 包装函数与实际系统调用可能存在显著差异(如open()可能调用openat(2))

  2. 动态插桩框架(如DynamoRIO/Intel PIN):

    • 允许在函数或机器码级别检测系统调用
    • 带来显著的运行时开销

内核态故障注入规避了上述问题:直接重写实际系统调用,且几乎不增加运行时开销。

系统调用基础

系统调用是内核向用户空间暴露资源的接口,涉及:

  • I/O操作(open/close/read/write)
  • 进程管理(fork/kill/wait)
  • 网络通信(send/recv)
  • 特殊操作(ioctl)

与传统函数调用不同,系统调用需要昂贵的上下文切换(x86通过int 80h/sysenter指令触发)。

系统调用表定位技术

Linux内核通过sys_call_table数组管理系统调用,但自2.6版本后不再直接导出该符号。我们使用kallsyms_lookup_name接口可靠获取其地址:

c 复制代码 
static unsigned long *sys_call_table;

int init_module(void) {
  sys_call_table = (void *)kallsyms_lookup_name("sys_call_table");
  if (!sys_call_table) {
    printk(KERN_ERR "查找sys_call_table失败\n");
    return -1;
  }
  return 0;
}

系统调用注入实现

基础拦截示例(以read为例):

c 复制代码 
asmlinkage long phony_read(int fd, char __user *buf, size_t count) {
  printk(KERN_INFO "拦截到read调用:fd=%d, %lu字节\n", fd, count);
  return orig_read(fd, buf, count);
}

x86架构需处理CR0寄存器的写保护位:

c 复制代码 
#define CR0_WRITE_UNLOCK(x) \
  do { \
    unsigned long __cr0; \
    preempt_disable(); \
    __cr0 = read_cr0() & (~X86_CR0_WP); \
    BUG_ON(unlikely(__cr0 & X86_CR0_WP)); \
    write_cr0(__cr0); \
    x; \
    __cr0 = read_cr0() | X86_CR0_WP; \
    BUG_ON(unlikely(!(__cr0 & X86_CR0_WP))); \
    write_cr0(__cr0); \
    preempt_enable(); \
  } while (0)

高级应用场景

  1. 强制故障注入
c 复制代码 
asmlinkage long phony_read(int fd, char __user *buf, size_t count) {
  return -ENOSYS;
}
  1. 用户定向故障
c 复制代码 
asmlinkage long phony_read(int fd, char __user *buf, size_t count) {
  if (current_uid().val == 1005) return -ENOSYS;
  return orig_read(fd, buf, count);
}
  1. 数据篡改
c 复制代码 
asmlinkage long phony_read(int fd, char __user *buf, size_t count) {
  unsigned char kbuf[1024];
  memset(kbuf, 'A', sizeof(kbuf));
  copy_to_user(buf, kbuf, sizeof(kbuf));
  return sizeof(kbuf);
}

KRF工具特性

我们开发的KRF工具具备:

  • 按可执行文件精确拦截能力
  • 支持完整系统调用"配置文件"操作
  • 实时故障注入能力
  • 完全兼容静态链接程序

替代方案对比

  1. syscall_intercept:基于LD_PRELOAD但使用capstone反汇编libc
  2. ptrace(2):用户空间子进程监控方案,存在调试器冲突和性能问题
  3. eBPF/kprobes:仅支持参数记录,无法实现实际拦截

技术说明:本文介绍的CR0写解锁机制源自PaX/grsecurity的"rare write"实现

相关推荐
中杯可乐多加冰34 分钟前
OpenClaw到底能做什么?有什么用?先装这几个实用的Skills
人工智能
千寻girling39 分钟前
一份不可多得的 《 Python 》语言教程
人工智能·后端·python
aircrushin3 小时前
从春晚看分布式实时协同算法与灵巧手工程实现
人工智能·机器人
恋猫de小郭3 小时前
Apple 的 ANE 被挖掘,AI 硬件公开,宣传的 38 TOPS 居然是"数字游戏"?
前端·人工智能·ios
银河系搭车客指南3 小时前
AI Agent 的失忆症:我是怎么给它装上"第二个大脑"的
人工智能
张拭心3 小时前
春节后,有些公司明确要求 AI 经验了
android·前端·人工智能
我的username4 小时前
极致简单的openclaw安装教程
人工智能
小锋java12344 小时前
【技术专题】嵌入模型与Chroma向量数据库 - Chroma 集合操作
人工智能
七月丶4 小时前
别再手动凑 PR 了:这个 AI Skill 会按仓库习惯自动建分支、拆提交、提 PR
人工智能·设计模式·程序员
用户5191495848454 小时前
CVE-2024-10793 WordPress插件权限提升漏洞利用演示
人工智能·aigc
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆05Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services06OpenClaw优化飞书API 额度已耗尽问题07Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤08Window 10部署openclaw报错node.exe : npm error code 12809小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)10OpenClaw大龙虾机器人完整安装教程