11
Kullanıcıların süreçleri gizlemesinin popüler bir yolu,/proc dizini için yineleme işlevini ele geçirmektir. Ben orijinal yinelerler fonksiyonunu yeniden istediğiniz bir saptama yöntemi üzerinde çalışıyorumLinux çekirdek modülü: sanal dosya sisteminin yinelemeli işlevini yeniden ele geçirme
struct file *filep = filp_open("/proc", O_RDONLY, 0));
filep->f_op->iterate = p // We swap the pointer with our hacked iterate
(bunu varsayarak zaten ele geçirildiğini) şu şekildedir: Bu yapılabilir./Proc dizini için kullanılan orijinal yineleme işlevini bulmanın bir yolu var mı?
Doğrudan [proc_map_files_readdir] (http://lxr.free-electrons.com/source/fs/proc/base.c#L1841) adresini kullanabilirsiniz. Elbette, saldırganın çekirdeğe erişimi varsa, bunu da değiştirebilir. – zch
@zch Bu işleve nasıl erişebileceğimi söyleyebilir misiniz? Sysmap'de mevcut değil. – AlexSee
Doğru, bu statik bir işlevdir, bu nedenle bu sembolün sonuçta elde edilen çekirdekte bulunup bulunmayacağından emin değilim. İkinci "procfs" 'i monte etmeye çalışabilirsiniz ve belki de bu tür basit saldırıları tespit edebilirsiniz. – zch