Linux可加载内核模块完全版

　
　

Linux可加载内核模块完全版

--黑客、病毒程序编写者和系统管理员的概念性指南

作者：pragmatic/THC

版本：1.0

发布时间：03/1999/

译者：spark.bbs@bbs.nankai.edu.cn

　

内容提要

　

导言

　

I.基础知识

1.什么是LKM

2.什么是系统调用

3.什么是内核符号表

4.如何进行内核与用户空间内存数据的交换

5.使用用户空间的各种函数方法

6.常用内核空间函数列表

7.什么是内核后台进程

8.创建自己的设备

　

II.深入探讨

1.如何截获系统调用

2.哪些系统调用应被截获

2.1 寻找重要的系统调用（strace命令方法）

3.迷惑内核系统表

4.针对文件系统的黑客方法

4.1 如何隐藏文件

4.2 如何隐藏文件内容（总体说明）

4.3 如何隐藏文件的特定部分（源语示例）

4.4 如何监视重定向文件操作

4.5 如何避免某一文件的属主问题

4.6 如何使黑客工具目录不可访问

4.7 如何改变CHROOT环境

5.针对进程的黑客方法

5.1如何隐藏某一进程

5.2如何重定向文件的执行

6.针对网络（Socket）的黑客方法

6.1 如何控制Socket操作

7.终端（TTY）的截取方法

8.用LKM编写病毒

8.1 LKM病毒是如何感染文件的（不仅感染模块；源语示例）

8.2 LKM病毒如何协助入侵的

9.使LKM不可见、不可删除

10.其它滥用内核后台进程的方法

11.如何检测自己编写的当前LKM

　

III.解决办法（用于系统管理员）

1.LKM检测程序的原理与思路

1.1 检测程序示例

1.2 密码保护的creat_module()函数类型程序的实例

2.反LKM传染程序的编写思路

3.使自己的程序不可跟踪（原理）

4.用LKM加固Linux内核

4.1 为何给予仲裁程序执行权？（用LKM实现的Phrack的Route的思路）

4.2 链路修补（用LKM实现的Phrack 的Solar Designer的思路）

4.3 /proc 权限修补（用LKM实现的Phrack的Route的思路）

4.4 securelevel修补（用LKM实现的Phrack的Route的思路）

底层磁盘修补
　

IV.一些更好的思路（用于黑客）

1.反击管理员的LKM的技巧

2.修补整个内核―或创建黑客操作系统

2.1如何在/dev/kmem下寻找内核符号

2.2无需内核支持的新insmod命令

3.最后几句

　

V.最新特性：内核2.2

1.对LKM编写者来说主要的不同点

　

VI.后话

1.LKM的背景或如何使系统插件与入侵兼容

2.到其它资源的链接

　

致谢

　

附录

A