簡介
將Linux操作系統用於服務器在現在是越來越普遍了.因此,入侵Linux在今天也變得越來越有趣.目前最好的攻擊Linux的技術就是修改內核代碼.由於一種叫做可卸載內核(Loadable KernelModules(LKMs))的機制,我們有可能編寫在內核級別運行的代碼,而這種代碼可以允許我們接觸到操作系統中非常敏感的部分.在過去有一些很好的關於LKM知識的文本或者文件,他們介紹一些新的想法,方法以及一名Hacker所夢寐以求的完整的LKMs.而且也有一些很有趣的公開的討論(在新聞組,郵件列表).
然而為什麼我再重新寫這些關於LKMs的東西呢?下面是我的一些理由:
在過去的教材中常常沒有為那些初學者提供很好的解釋.而這個教材中有很大一部分的基礎章節.這是為了幫助那些初學者理解概念的.我見過很多人使用系統的缺陷或者監聽器然而卻絲毫不了解他們是如何工作的.在這篇文章中我包含了很多帶有注釋的源代碼,只是為了幫助那些認為入侵僅僅是一些工具游戲的初學者!
每一個發布的教材不過把話題集中在某個特別的地方.沒有一個完整的指導給那些關注LKMs的Hacker.這篇文章會覆蓋幾乎所有的關於LKMs的資料(甚至是病毒方面的).
這篇文章是從Hacker或者病毒的角度進行討論的,但是系統管理員或者內核的開發者也可以參考並從中學到很多東西.
以前的文章介紹一些利用LKMs進行入侵的優點或者方法,但是總是還有一些東西是我們過去從來沒有聽說過的.這篇文章會介紹一些新的想法給大家.(不是所有的新的資料,只是一些對我們有幫助的)
這篇文章會介紹一些簡單的防止LKM攻擊的方法,同時也會介紹如何通過使用一些像運行時內核補丁(Runtime Kernel Patching)這樣的方法來對付這些防御措施.
要記住這些新的想法僅僅是通過利用一些特殊的模塊來實現的.要在現實中真正使用他們還需要對他們進行改進.這篇文章的主要目的是給大家在整個LKM上一個大方向上的指導.在附錄A中,我會給大家一些實用的LKMs,並附上一些簡短的注釋(這是為那些新手的),以及如何使用他們.
整篇文章(除了第五部分)是基於 Linu 2.0.x的80x86機器的.我測試了所有的程序和代碼段.為了能夠正常使用這裡提供的絕大部分代碼,你的Linux系統必須有LKM支持.只有在第四部分會給大家一些不需要LKM支持的源代碼.本文的絕大多數想法一樣可以在Linux2.2.x上實現(也許你會需要一些小小的改動).
這篇文章會有一個特別的章節來幫助系統管理員進行系統安全防護.你(作為一名Hacker)也必須仔細閱讀這些章節.你必須要知道所有系統管理員知道的,甚至更多.你也會從中發現很多優秀的想法.這也會對你開發高級的入侵系統的LKMs有所幫助.
