IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當前所在位置: 首頁操作系統(tǒng)LINUX → Linux用戶空間獲取系統(tǒng)調(diào)用表地址

Linux用戶空間獲取系統(tǒng)調(diào)用表地址

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(19)

  一、代碼及實現(xiàn)

 ?。ㄒ唬┯脩艨臻g源代碼

  #include

  #include

  #include

  #include

  #include

  #include

  #include

  #include

  #include

  #define CALLOFF 100 //讀取100字節(jié)

  struct {

  unsigned short limit;

  unsigned int base;

  } __attribute__ ((packed)) idtr;? //這個結(jié)構(gòu)表示IDTR寄存器,這個寄存器中保存中斷描述符表 的地址

  struct {

  unsigned short off1;

  unsigned short sel;

  unsigned char none,flags;

  unsigned short off2;

  } __attribute__ ((packed)) idt;? //中斷描述符表中的內(nèi)容:中斷門描述符

  unsigned int old_readkmem (int fd, void * buf,size_t off,unsigned int size) //用read方式讀取kmem中一定長度內(nèi)容

  {

  if (lseek64(fd, (unsigned long long)off,SEEK_SET)!=off)

  {

  perror("fd lseek error");

  return 0;

  }

  if (read(fd, buf,size)!=size)

  {

  perror("fd read error");

  return 0;

  }

  }

  unsigned long readkmem (int fd, void * buf, size_t off, unsigned int size)//用mmap方式從kmem中讀取一定長度內(nèi)容

  {

  size_t? moff, roff;

  size_t?? sz = getpagesize();

  char * kmap;

  unsigned long ret_old = old_readkmem(fd, buf, off, size); //先用老方法讀取,不行再用mmap

  if (ret_old != 0)

  return ret_old;

  moff = ((size_t)(off/sz)) * sz;

  roff = off - moff;

  kmap = mmap(0, size+sz, PROT_READ, MAP_PRIVATE, fd, moff);

  if (kmap == MAP_FAILED)

  {

  perror("readkmem: mmap");

  return 0;

  }

  memcpy (buf, &kmap[roff], size);

  if (munmap(kmap, size) != 0)

  {

  perror("readkmem: munmap");

  return 0;

  }

  return size;

  }

#p#副標題#e#

  int main (int argc, char **argv)

  {

  unsigned sys_call_off;

  int kmem_fd;? // /dev/kmem文件描述符

  unsigned sct;

  char sc_asm[CALLOFF],*p;

  /* 獲得IDTR寄存器的值 */

  asm ("sidt %0" : "=m" (idtr));

  printf("idtr base at 0x%X\n",(int)idtr.base);

  /* 打開kmem */

  kmem_fd = open ("/dev/kmem",O_RDONLY);

  if (kmem_fd<0)

  {

  perror("open");

  return 1;

  }

  /* 從IDT讀出0x80向量 (syscall) */

  readkmem (kmem_fd, &idt,idtr.base+8*0x80,sizeof(idt)); //idtr.base+8*0x80 表示80中斷描述符的偏移

  sys_call_off = (idt.off2 << 16) | idt.off1;??? //idt.off2 表示地址的前16位,得到syscall地址

  printf("idt80: flags=%X sel=%X off=%X\n", (unsigned)idt.flags,(unsigned)idt.sel,sys_call_off);

  /* 尋找sys_call_table的地址 */

  readkmem (kmem_fd, sc_asm,sys_call_off,CALLOFF);

  p = (char*)memmem (sc_asm,CALLOFF,"\xff\x14\x85",3); //只要找到鄰近int $0x80入口點system_call的call sys_call_table(,eax,4)指令的機器指令就可以了,call something(,eax,4)指令的機器碼是0xff 0x14 0x85,因此搜索這個字符串。

  sct = *(unsigned*)(p+3); //sys_call_table地址就在0xff 0x14 0x85之后

  if (p)

  {

  printf ("sys_call_table at 0x%x, call dispatch at 0x%x\n", sct, p);

  }

  close(kmem_fd);

  return 0;

  }

  (二)編譯及實踐

  該程序就是用戶空間的普通應用程序,編譯之后執(zhí)行即可。我這里同時列出在虛擬機上和物理機上的執(zhí)行結(jié)果,以作對比。

  虛擬機上的執(zhí)行結(jié)果如下:

  idtr base at 0xFFC18000

  fd read error: Success

  readkmem: mmap: Input/output error

  idt80: flags=0 sel=0 off=0

  fd read error: Bad address

  readkmem: mmap: Input/output error

  Segmentation fault

  物理機上的執(zhí)行結(jié)果:

  idtr base at 0xC1334000

  idt80: flags=EF sel=60 off=C1003CC4

  sys_call_table at 0xc124d4e0, call dispatch at 0xbfc2b330

  可見,虛擬機環(huán)境中并沒有正確的獲取到系統(tǒng)調(diào)用表,而物理機上的程序則正確的執(zhí)行了。為什么虛擬機上執(zhí)行有問題呢?我會在第二部分的分析總結(jié)中進行解釋。

  二、總結(jié)

 ?。ㄒ唬崿F(xiàn)原理

  內(nèi)核態(tài)獲取系統(tǒng)調(diào)用表的實現(xiàn)原理,請參看本人的博文《Linux下實現(xiàn)劫持系統(tǒng)調(diào)用的總結(jié)》。用戶態(tài)的實現(xiàn)原理,從本質(zhì)上應該是和內(nèi)核一致的。有區(qū)別的地方就在于,內(nèi)核態(tài)可以直接訪問內(nèi)核地址空間,而用戶態(tài)是不可以的。

  因此,用戶態(tài)實現(xiàn)的時候就需要解決如何訪問內(nèi)核地址空間的問題。我們同樣可以通過sidt指令獲取到中斷向量表的地址,然后通過讀取/dev/kmem來定位到該地址。對于文件/dev/kmem,可以通過直接read或者mmap的方式操作即可。接下來的工作就是一步一步的去定位到系統(tǒng)調(diào)用表的地址了。

  (二)虛擬機環(huán)境的問題

  我們上面談到在虛擬機執(zhí)行該程序的時候出錯了,經(jīng)查找,其原因見參考鏈接3,這里列出其解釋:

  在大多數(shù)的虛擬機中將無法順利的讀取IDTR。因為lidt指令是一個特權(quán)指令,將會產(chǎn)生一個異常,并被VM所捕獲。這樣可以使VM為每一個操作系統(tǒng)維持 一個虛擬的IDTR。因為sidt指令沒有被處理,它將會返回一個偽造的IDTR地址,通常會大于0xFFC00000。

  我們在虛擬機執(zhí)行這個程序返回的idtr的地址是0xFFC18000,正好印證了該解釋。

  以上是對用戶空間獲取系統(tǒng)調(diào)用表地址的總結(jié)。如有遺漏不妥之處,請大家多多指教。

關(guān)鍵詞標簽:Linux

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 安裝紅帽子RedHat Linux9.0操作系統(tǒng)教程 安裝紅帽子RedHat Linux9.0操作系統(tǒng)教程 Tomcat9.0如何安裝_Tomcat9.0環(huán)境變量配置方法 Tomcat9.0如何安裝_Tomcat9.0環(huán)境變量配置方法 多種操作系統(tǒng)NTP客戶端配置 多種操作系統(tǒng)NTP客戶端配置 Linux操作系統(tǒng)修改IP Linux操作系統(tǒng)修改IP

相關(guān)下載

    人氣排行 Linux下獲取CPUID、硬盤序列號與MAC地址 dmidecode命令查看內(nèi)存型號 linux tc實現(xiàn)ip流量限制 安裝紅帽子RedHat Linux9.0操作系統(tǒng)教程 linux下解壓rar文件 lcx.exe、nc.exe、sc.exe入侵中的使用方法 Ubuntu linux 關(guān)機、重啟、注銷 命令 查看linux服務器硬盤IO讀寫負載