Linux系统环境下的高级隐藏技术介绍

图 系统调用hacked_getdents执行流程

　　 图中的hacked_getdents函数实际上就是先调用原来的系统调用，然后从得到的dirent结构中去除与特定文件名相关的文件信息，从而应用程序从该系统调用返回后将看不到该文件的存在。

　　 应该注意的是，一些较新的版本中是通过sys_getdents64来查询文件信息的，但其实现原理与sys_getdents基本相同，所以在这些版本中仍然可以用与上面类似的方法来修改该系统调用，隐藏文件。
    2.2　隐藏模块

　　上面分析了如何修改系统调用以隐藏特定名字的文件，在实际的处理中，经常会用模块来达到修改系统调用的目的，但是当插入一个模块时，若不采取任何隐藏措施，很容易被对方发现，一旦对方发现并卸载了所插入的模块，那么所有利用该模块来隐藏的文件就暴露了，所以应继续分析如何来隐藏特定名字的模块。 Linux中用来查询模块信息的系统调用是sys_query_module，所以可以通过修改该系统调用达到隐藏特定模块的目的。首先解释一下原来的系统调用，原来系统调用的原型为：
int sys_query_module(const char *name, int which, void *buf, size_t bufsize , size_t *ret)
如果参数name不空，则访问特定的模块，否则访问的是内核模块，参数which说明查询的类型，当which=QM_MODULES时，返回所有当前已插入的模块名称，存入buff, 并且在ret中存放模块的个数，buffsize是buf缓冲区的大小。在模块隐藏的过程中只需要对which=QM_MODULES的情况进行处理就可以达到目的。修改后的系统调用工作过程如下：

　　 1）调用原来的系统调用，出错则返回错误代码；
　　 2）如果which不等于QM_MODULES，则不需要处理，直接返回。
　　 3）从buf的开始位置进行处理，如果存在特定的名字，则将后面的模块名称向前覆盖该名字。
　　 4）重复3），直到处理处理完所有的名字，正确返回。

　　 2.3 隐藏进程

　　在Linux中不存在直接查询进程信息的系统调用，类似于ps这样查询进程信息的命令是通过查询proc文件系统来实现的，在背景知识中已经介绍过 proc文件系统，由于它应用文件系统的接口实现，因此同样可以用隐藏文件的方法来隐藏proc文件系统中的文件，只需要在上面的 hacked_getdents中加入对于proc文件系统的判断即可。由于proc是特殊的文件系统，只存在于内存之中，不存在于任何实际设备之上，所以Linux内核分配给它一个特定的主设备号0以及一个特定的次设备号1，除此之外，由于在外存上没有与之对应的i节点,所以系统也分配给它一个特殊的节点号PROC_ROOT_INO（值为1），而设备上的1号索引节点是保留不用的。通过上面的分析，可以得出判断一个文件是否属于proc文件系统的方法：

　　 1）得到该文件对应的inode结构dinode;
　　 2）if (dinode->i_ino == PROC_ROOT_INO && !MAJOR(dinode->i_dev) && MINOR(dinode->i _dev) == 1) {该文件属于proc文件系统}

　　 通过上面的分析，给出隐藏特定进程的伪代码表示：

　　 hacket_getdents(unsigned int fd, struct dirent *dirp, unsigned int count)
　　 {

　　 调用原来的系统调用；

　　 得到fd所对应的节点；

　　 if(该文件属于proc文件系统&&该文件名需要隐藏)
　　　　 {从dirp中去掉该文件相关信息}
}
　 2.4　修改系统调用的方法

　　 现在已经解决了如何修改系统调用来达到隐藏的目的，那么如何用修改后的系统调用来替换原来的呢？这个问题在实际应用中往往是最关键的，下面将讨论在不同的情况下如何做到这一点。

　　 (1)当系统导出sys_call_table，并且支持动态的插入模块的情况下：

　　 在Linux内核2.4.18版以前，这种内核配置是非常普遍的。这种情况下修改系统调用非常容易，只需要修改相应的sys_call_table表项，使其指向新的系统调用即可。下面是相应的代码：

　　 int orig_getdents(unsigned int fd, struct dirent *dirp, unsigned int count)
　　 int init_module(void)　
　　 /*初始化模块*/
　　 {
　　 orig_getdents=sys_call_table[SYS_getdents];　　　　//保存原来的系统调用
　　 orig_query_module=sys_call_table[SYS_query_module]
　　 sys_call_table[SYS_getdents]=hacked_getdents;　　//设置新的系统调用
　　 sys_call_table[SYS_query_module]=hacked_query_module;
　　 return 0; //返回0表示成功
　　 }
　　 void cleanup_module(void)
　　 /*卸载模块*/
　　 {
　　 sys_call_table[SYS_getdents]=orig_getdents;　　　　//恢复原来的系统调用
　　 sys_call_table[SYS_query_module]=orig_query_module;
　　 }