Sie können versuchen, die folgenden Lösungen zu verwenden, um Linux-Kernelfunktionen abzufangen

Sie können die folgenden Lösungen ausprobieren, um Linux-Kernelfunktionen abzufangen:

Verwenden Sie die Linux-Sicherheits-API

Aus Sicht der Best Practices halten wir die Verwendung der Hook-Funktion der Linux-Sicherheits-API für die beste Wahl, da dieser Socket für diesen Zweck konzipiert ist. Zu den wichtigsten Punkten im Kernel-Code gehören Sicherheitsfunktionsaufrufe, die zu einer Eskalation der Installation von Sicherheitsmodulen führen können. Dieses Modul kann den Kontext einer bestimmten Operation untersuchen und entscheiden, ob sie zugelassen oder verboten werden soll. Leider weist LinuxSecurityAPI zwei wesentliche Einschränkungen auf:

Tatsächlich haben Kernel-Entwickler unterschiedliche Vorstellungen darüber, ob das System mehrere Sicherheitsmodule enthalten kann, und es ist eine sichere Tatsache, dass die Module nicht dynamisch geladen werden können. Damit ein System von Anfang an sicher bleibt, müssen Sicherheitsmodule Teil des Kernels sein. Aus diesem Grund müssen wir zur Verwendung der Linux-Sicherheits-API einen benutzerdefinierten Linux-Kernel erstellen.

Systemaufruftabelle ändern

Da es hauptsächlich für Vorgänge verwendet wird, die von Benutzeranwendungen ausgeführt werden, können wir es auf Systemaufrufebene implementieren. Alle Linux-Systemaufrufhandler werden in der Tabelle sys_call_table gespeichert. Das Ändern der Werte in dieser Tabelle führt zu einem geänderten Systemverhalten. Wir können dies tun, indem wir den Systemaufruf einbinden, indem wir den alten Handlerwert speichern und der Tabelle unseren eigenen Handler hinzufügen. Auch diese Methoden haben einige Vor- und Nachteile.

Die Hauptvorteile sind wie folgt:

Allerdings haben diese Methoden auch einige Nachteile:

Die technische Umsetzung ist komplexer. Tatsächlich ist es nicht schwierig, die Werte in der Tabelle zu ersetzen Linux-Kernel-Funktion aufrufen , aber es gibt einige zusätzliche Aufgaben, die individuelle Bedingungen und einige nicht offensichtliche Lösungen erfordern:

Nur Hook-Systemaufrufe. Da Sie mit diesem Ansatz Systemaufruf-Handler ersetzen können, werden die Einstiegspunkte erheblich eingeschränkt. Alle zusätzlichen Erkennungen können vor oder unmittelbar nach dem Systemaufruf durchgeführt werden. Wir haben nur die Systemaufrufparameter und ihre Rückgabewerte. Daher müssen wir manchmal die Zugriffsberechtigungen des Prozesses und die Gültigkeit der Systemaufrufparameter sorgfältig prüfen. Es wird berichtet, dass in einigen Fällen die Notwendigkeit, den Benutzerprozessspeicher zweimal zu kopieren, zusätzliche Kosten verursacht. Wenn beispielsweise ein Parameter durch die Uhrnadel geleitet wird, gibt es zwei Kopien: eine von uns selbst und eine vom ursprünglichen Handler.

Verwenden Sie Kprobes

Kprobes – Eine API, die für die Ablaufverfolgung und das Debuggen des Linux-Kernels entwickelt wurde. Kprobes ermöglicht die Installation von Prä- und Postprozessoren für jede Kernel-Anweisung sowie von Funktionseingabe- und Funktionsrückgabe-Handlern. Handler haben Zugriff auf Register und können diese ändern. Auf diese Weise haben wir die Möglichkeit, den Dateiausführungsfluss zu überwachen und zu ändern.

Die Verwendung von Kprobes zum Verfolgen von Linux-Kernelfunktionen wird hauptsächlich wie folgt verwendet:

Kprobes haben auch Nachteile:

Spleißen

Eine klassische Möglichkeit, Kernel-Funktions-Hooking zu konfigurieren: Ersetzen Sie die Anweisungen am Anfang der Funktion durch einen bedingungslosen Sprung zu einem benutzerdefinierten Handler. Der ursprüngliche Befehl wird an einen anderen Ort verdrahtet und ausgeführt, bevor zur abgefangenen Funktion zurückgesprungen wird. Aus diesem Grund kann der Code mit zwei Sprüngen in eine Funktion gespleißt werden. Dies funktioniert auf die gleiche Weise wie die kprobes-Sprungoptimierung. Mit Splicing können Sie die gleichen Ergebnisse wie mit kprobes erzielen, jedoch mit weniger Overhead und voller Kontrolle über den Prozess.

Die Vorteile des Spleißens sind sehr bedeutend:

Allerdings haben diese Methoden einen großen Nachteil – die technische Komplexität. Das Ersetzen des Maschinencodes in einer Funktion ist nicht einfach. Um Splicing zum Aufrufen von Linux-Kernelfunktionen zu verwenden, müssen die folgenden Vorgänge ausgeführt werden:

Relativ gesehen kann Spleißen eine sehr nützliche Möglichkeit sein, Linux-Kernelfunktionen einzubinden. Die Implementierung dieser Methode ist jedoch zu kompliziert. Da wir angesichts unserer eigenen Fähigkeiten und einiger anderer Anreize vorerst nicht bereit sind, diese Methoden anzuwenden, nutzen wir sie als Kandidaten.

Das obige ist der detaillierte Inhalt vonSie können versuchen, die folgenden Lösungen zu verwenden, um Linux-Kernelfunktionen abzufangen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!