成功入侵系统后,入侵者一般会通过Rootkits工具来隐藏行踪,提供后门方便后续入侵访问。Rootkits一般会隐藏文件,隐藏进程,隐藏网络端口,过滤日志,总之会隐藏任何未授权行为,使入侵者的活动很难被检测到,入侵者可以持续掌控受害系统。
Rootkits的实现手段多种多样,从应用层到动态链接库层,再到内核层,甚至Hypervisor层,都有各种方法实现Rootkits。在应用层直接替换二进制文件如 ls 、 ps 、 top 、 netstat 等,在动态连接库层Hook库函数如 open() 、 opendir() 、 readdir() 、 unlink() 等,在内核层Hook系统调用及内核函数,更改内核行为。
上一篇博客 使用QEMU和GDB调试Linux内核 ,最后使用内核提供的GDB扩展功能获取当前运行进程,发现内核已经不再使用 thread_info 获取当前进程,而是使用Per-CPU变量。而且从内核4.9版本开始, thread_info 也不再位于内核栈底部,然而内核提供的辅助调试函数 lx_thread_info() 仍然通过内核栈底地址获取 thread_info ,很明显这是个Bug,于是决定将其修复并提交一个内核Patch,提交后很快就得到内核维护人员的回应,将Patch提交到了内核主分支。