X86-64 के तहत लिनक्स में सिस्टम कॉल का अवरोधन

परिचय

इंटरनेट पर x32 के तहत सिस्टम कॉल को इंटरसेप्ट करने वाले कई लेख प्रकाशित किए गए हैं। एक समस्या को हल करने के भाग के रूप में, x86-64 आर्किटेक्चर के तहत लोड करने योग्य कर्नेल मॉड्यूल का उपयोग करके सिस्टम कॉल को इंटरसेप्ट करने की आवश्यकता थी। आइए शुरू:

अवरोधक प्रणाली कॉल

एल्गोरिथ्म:

• सिस्टम कॉल टेबल पते की खोज करें
• नई प्रणाली कॉल के पते के लिए प्रतिस्थापन

सिस्टम कॉल टेबल पते की खोज करें

पहला विकल्प: इंटरप्ट डिस्क्रिप्टर (आईडीटी) की तालिका के माध्यम से पाया जा सकता है, आईडीटी - का उपयोग इंटरप्ट हैंडलर को इंटरप्ट नंबर से जोड़ने के लिए किया जाता है। संरक्षित मोड में, भौतिक मेमोरी में पता और इंटरप्ट टेबल का आकार 80-बिट आईडीटीआर रजिस्टर द्वारा निर्धारित किया जाता है। संरक्षित मोड में, आईडीटी तत्व एक 10-बाइट इंटरप्ट गेटवे होता है जिसमें इंटरप्ट हैंडलर, एक्सेस राइट्स आदि का सेगमेंट (तार्किक) पता होता है, हम इस तरह की विधि में रुचि नहीं रखते हैं। क्योंकि हमें प्रोसेसर का पता मिलता है, जिसे x32 के साथ संगतता के लिए बनाया गया है



दूसरा विकल्प अधिक दिलचस्प है।



शुरू करने के लिए, एक बड़ा विषयांतर नहीं: MSR - मशीन राज्य रजिस्टर इंटेल प्रोसेसर का एक सेट है जो प्रोसेसर के x86 और x86-64 परिवार में उपयोग किया जाता है। ये रजिस्टर प्रोसेसर की स्थिति के बारे में निगरानी और सूचना प्राप्त करने की क्षमता प्रदान करते हैं। सभी एमएसआर रजिस्टर केवल सिस्टम कार्यों के लिए उपलब्ध हैं और उपयोगकर्ता कार्यक्रमों से सुलभ नहीं हैं। हम विशेष रूप से निम्नलिखित रजिस्टर में रुचि रखते हैं: MSR_LSTAR - 0xc0000082 (लंबी मोड SYSCALL लक्ष्य)

(पूरी सूची /usr/include/asm/msr-index.h में देखी जा सकती है)।

यह रजिस्टर x86-64 के लिए इंटरप्ट हैंडलर का पता रखता है।

आप निम्नानुसार पता प्राप्त कर सकते हैं:

int i, lo, hi;

asm volatile("rdmsr" : "=a" (lo), "=d" (hi) : "c" (MSR_LSTAR));

system_call = (void*)(((long)hi<<32) | lo);







इसके बाद, तालिका का पता खोजें। चलिए हम अभी प्राप्त पते पर जाते हैं और हमारी मेमोरी में अनुक्रम \ xff \ x14 \ xc5 पाते हैं (ये मैजिक नंबर लिए जाते हैं यदि आप कर्नेल कोड को देखते हैं, विशेष रूप से, system_call फ़ंक्शन के कोड में, जिसमें आवश्यक से हैंडलर कहा जाता है)। इसके बाद के 4 बाइट्स को पढ़ने के बाद, हमें syscall_table सिस्टम कॉल टेबल का पता मिलता है। इसके पते को जानकर, हम इस तालिका (सभी सिस्टम फ़ंक्शंस के पते) की सामग्री प्राप्त कर सकते हैं और इसे इंटरसेप्ट करके किसी भी सिस्टम कॉल का पता बदल सकते हैं।

सिस्टम कॉल टेबल का पता खोजने के लिए कोड:

unsigned char *ptr;

for (ptr=system_call, i=0; i<500; i++) {

if (ptr[0] == 0xff && ptr[1] == 0x14 && ptr[2] == 0xc5)

return (void*)(0xffffffff00000000 | *((unsigned int*)(ptr+3)));

ptr++;

}



नई प्रणाली कॉल के पते के लिए प्रतिस्थापन

यहां कुछ बारीकियां भी हैं, यदि आप केवल तालिका में कुछ बदलने की कोशिश करते हैं, तो एक त्रुटि उत्पन्न होगी। सौभाग्य से, यह करना काफी आसान है:

• स्मृति सुरक्षा अक्षम करें
• हमारे हैंडलर के पते का पता फिर से लिखें
• स्मृति सुरक्षा चालू करें

सुरक्षा को हटाने और सेट करने के लिए, आपको निम्नलिखित जानने की आवश्यकता है: CR0 रजिस्टर करें - इसमें सिस्टम कंट्रोल फ्लैग होते हैं जो प्रोसेसर के व्यवहार और स्थिति को नियंत्रित करते हैं। WP फ्लैग - राइट प्रोटेक्शन (राइट प्रोटेक्ट), 48 वां बिट CR0। जब सेट किया जाता है, तो सिस्टम प्रक्रियाओं को केवल-पढ़ने के लिए उपयोग के साथ उपयोगकर्ता पृष्ठों पर लिखने से प्रतिबंधित किया जाता है (जब WP ध्वज अनियंत्रित होता है, तो यह अनुमति देता है)। X32 के विपरीत, केवल रजिस्टर आकार और ध्वज संख्या बदल गई है

अवसादन कोड:

asm("pushq %rax");

asm("movq %cr0, %rax");

asm("andq $0xfffffffffffeffff, %rax");

asm("movq %rax, %cr0");

asm("popq %rax");







सुरक्षा सक्षम कोड:

asm("pushq %rax");

asm("movq %cr0, %rax");

asm("xorq $0x0000000000001000, %rax");

asm("movq %rax, %cr0");

asm("popq %rax");









यह ज्ञान लिनक्स x86-64 में सिस्टम कॉल को बदलने के लिए पर्याप्त है। मुझे आशा है कि किसी को यह मददगार लगेगा।

आपका ध्यान देने के लिए धन्यवाद।



युपीडी:

• रूसी संस्करण
• github.com/ultral/linux-keylogger