11
Популярным способом скрытия процессов от пользователя является захват итерационной функции для каталога/proc. Это может быть сделано следующим образом:Модуль ядра Linux: перехват итерационной функции виртуальной файловой системы
struct file *filep = filp_open("/proc", O_RDONLY, 0));
filep->f_op->iterate = p // We swap the pointer with our hacked iterate
Я работаю по методу обнаружения, где я хотел бы, чтобы восстановить исходную функцию итерационный (предполагается, что это уже было похищено). Есть ли способ найти исходную функцию итерации, которая используется для каталога/proc?
Вы можете использовать [proc_map_files_readdir] (http://lxr.free-electrons.com/source/fs/proc/base.c#L1841) напрямую. Конечно, если злоумышленник имеет доступ на запись к ядру, он тоже может это изменить. – zch
@zch Не могли бы вы рассказать мне, как я могу получить доступ к этой функции? Его нет в sysmap. – AlexSee
Правильно, это статическая функция, поэтому я не уверен, что этот символ будет присутствовать в результирующем ядре. Вы можете попробовать установить второй 'procfs' и, возможно, там вы сможете обнаружить некоторые простые атаки такого рода. – zch