码迷,mamicode.com
首页 > 其他好文 > 详细

进程隐藏系统调用

时间:2014-09-17 23:11:52      阅读:735      评论:0      收藏:0      [点我收藏+]

标签:blog   http   io   os   使用   ar   strong   for   文件   

一、实验内容

    实验3:Linux进程管理及其扩展

1、阅读并分析Linux内核源代码,了解进程控制块、进程队列等数据结构;

2. 实现一个系统调用,使得可以根据指定的参数隐藏进程,使用户无法使用ps或top观察到进程状态。具体要求如下:

(1)实现系统调用int hide(pid_t pid, int on),在进程pid有效的前提下,如果on置1,进程被隐藏,用户无法通过ps或top观察到进程状态;如果on置0且此前为隐藏状态,则恢复正常状态。

(2)考虑权限问题,只有根用户才能隐藏进程。

(3)设计一个新的系统调用int hide_user_processes(uid_t uid, char *binname),参数uid为用户ID号,当binname参数为NULL时,隐藏该用户的所有进程;否则,隐藏二进制映像名为binname的用户进程。该系统调用应与hide系统调用共存。

(4)在/proc目录下创建一个文件/proc/hidden,该文件可读可写,对应一个全局变量hidden_flag,当hidden_flag为0时,所有进程都无法隐藏,即便此前进程被hide系统调用要求隐藏。只有当hidden_flag为1时,此前通过hide调用要求被屏蔽的进程才隐藏起来。

(5)在/proc目录下创建一个文件/proc/hidden_process,该文件的内容包含所有被隐藏进程的pid,各pid之间用空格分开。

二、实验目的

通过实验,加深理解进程控制块、进程队列等概念,了解进程管理的具体实施方法。

三、设计思路和关键代码

特色功能:

1、进程按照pid、uid、进程名进行隐藏和恢复

2、实现了动态模块加载和内核静态编译两种方式生成proc文件

3、编写了测试程序

(1)修改进程控制块(相当于PCB)的数据结构,增加cloak参数,1表示该进程隐藏。在使用ps或者top指令的时候,事实上也就是系统调用,所以要在显示进程的系统调用的地方按照cloak参数进行过滤。

A、Include/linux/sched.h文件中存储进程控制块(struct task_struct)。

 bubuko.com,布布扣

B、首先要在进程创建的时候对cloak进行初始化,这里默认初始化为0,表示不隐藏。

fork系统调用的实现代码在kernel/fork.c中,具体实现的主要函数为do_fork,do_fork中调用copy_process函数创建子进程,建议将初始化cloak的代码添加在copy_process函数中。

 bubuko.com,布布扣

C、然后,创建hide系统调用,这里不再像实验2一样新建文件,而是直接在fs/proc/base.c中添加。通过pid获取进程task_struct的内核函数为find_task_by_pid。在隐藏后最好调用函数proc_flush_task来清空VFS层的缓冲,解除已有的dentry项。

 bubuko.com,布布扣

修改proc_pid_readdir函数(在fs/proc/base.c文件中)。其中使用for循环遍历进程,在遍历过程中添加判断,过滤掉被隐藏的进程。

修改proc_pid_lookup函数,在进程查找完成前过滤掉被隐藏的进程。

(2)考虑权限时,需要修改cloak的hide系统调用中增加对权限的判断,使用全局变量current->uid获取当前用户权限,值为0代表root用户。

(3)int hide_user_processes(uid_t uid, char *binname),系统调用按照uid或者uid和进程名对进程进行隐藏的系统调用。在fs/proc/base.c添加系统调用。

 bubuko.com,布布扣

(4)在/proc目录下创建一个文件/proc/hidden,该文件可读可写,对应一个全局变量hidden_flag,当hidden_flag为0时,所有进程都无法隐藏,即便此前进程被hide系统调用要求隐藏。只有当hidden_flag为1时,此前通过hide调用要求被屏蔽的进程才隐藏起来。

这个hidden_flag相当于更高级别的控制,当其为0时,仍然可以对cloak操作,但是隐藏的作用失效。

实现proc文件的创建和读写,可以直接写在内核中也可以通过动态加载模块的方式实现。这里两种都做介绍:

  内核中创建proc文件方式:

A、 首先在fs/proc/proc_misc.c文件中声明全局变量,EXPORT_SYMBOL()函数可以使该变量在整个内核中可见。使用时只要extern int hidden_flag;即可访问同一变量。

 bubuko.com,布布扣

B、 proc文件系统在初始化函数proc_root_init中会调用proc_misc_init函数,此函数用于创建/proc根目录下的文件,那么将创建hidden文件的代码插入到此函数中就可以在proc初始化时得到执行。(在fs/proc/proc_misc.c文件中)

 bubuko.com,布布扣

其中proc_read_hidden和proc_write_hidden分别是对hidden文件读写时的回调函数。

即当用户读取hidden文件时,返回全局变量hidden_flag的值;

即当用户写入hidden文件时,修改全局变量hidden_flag的值;

这样就可以实现文件的值和全局变量实现同步。达到用户态对内核进行设置的目的。

 bubuko.com,布布扣

C、 修改proc_pid_readdir函数和proc_pid_lookup函数(在fs/proc/base.c文件中),增加对hidden_flag的判断逻辑。

 bubuko.com,布布扣

proc_pid_lookup:

 bubuko.com,布布扣

proc_pid_readdir:

 bubuko.com,布布扣

动态加载模块方式:

A、 只需要在内核fs/proc/proc_misc.c文件中,添加全局变量

 bubuko.com,布布扣

B、 创建一个动态模块文件hide_module.c

在其初始化函数init_hide(void)中编写:

 bubuko.com,布布扣

在其关闭函数exit_hide(void)中编写:

 bubuko.com,布布扣

C、 将这两个函数绑定为初始化和退出函数

 bubuko.com,布布扣

D、 读写文件的回调函数

 bubuko.com,布布扣

(5)在/proc目录下创建一个文件/proc/hidden_process,该文件的内容包含所有被隐藏进程的pid,各pid之间用空格分开。那么也可以分为静态内核和动态模块两种实现方式。

内核中创建proc文件方式:

A、proc文件系统在初始化函数proc_root_init中会调用proc_misc_init函数,此函数用于创建/proc根目录下的文件,那么将创建hidden文件的代码插入到此函数中就可以在proc初始化时得到执行。(在fs/proc/proc_misc.c文件中)

 bubuko.com,布布扣

B、由于这个文件只需要用户读取,所以只写读操作的回调函数即可:

 bubuko.com,布布扣

这里需要注意的是,page即为返回给用户的字符串,这个回调函数的返回值,为这个字符串的长度。

动态加载模块方式:

A、 与hidden文件的动态加载模块方式相似

在其初始化函数init_hide(void)中编写:

 bubuko.com,布布扣

在其关闭函数exit_hide(void)中编写:

 bubuko.com,布布扣

B、 其读操作回调函数为:

 bubuko.com,布布扣

四、主要数据结构及其说明

task_struct数据结构说明

源自:

http://www.baidu.com/link?url=SO-vtkUs6iRdOHI9se20ZDyI8zjNisNDVxeW7ccNtCfx3YZbVlQFptbKekoIcG9zyDe0PuRvvV7yNn-5zc46_q

proc文件操作说明

创建proc文件

struct proc_dir_entry * hidefile = create_proc_entry("hidden",0644,NULL);

1、  第一个参数是文件名

2、  第二个参数是文件的读写权限

3、  第三个参数是路径,因为在proc文件的根目录所以为NULL

然后绑定读写回调函数:

hidefile->read_proc = proc_read_hidden;// call back : read

hidefile->write_proc = proc_write_hidden;// call back : write

也可以采用以下方式创建并绑定回调函数:

struct proc_dir_entry * hideprocessfile = create_proc_read_entry("hidden_process",

                                                                                    0444,

                                                                                    NULL,

                                                                                    proc_read_hidden_process,

                                                                                    NULL);

读proc文件

proc文件不能像普通文件一样打开然后阅读,需使用如下指令

cat < hidden

使用如下指令写入文件

echo “1” > hidden

加载动态模块

在加载模块的目录下编写Makefile文件,然后编译

$ make                                                                                                                                                                          

进入到root用户下,加载模块

# insmod hide_module.ko                                                         

卸载模块

# rmmod hide_module                                                                              

五、源程序

动态加载模块hide_module.h

#include<linux/init.h>

#include<linux/module.h>

#include <linux/fs.h>

#include <asm/unistd.h>

#include <asm/uaccess.h>

#include<linux/proc_fs.h>

#include<linux/sched.h>

#include<linux/proc_fs.h>

#include<linux/slab.h>

#include <asm/uaccess.h>

MODULE_LICENSE("GPL");

extern int hidden_flag;

static int proc_read_hidden(char* page,char**start,off_t off,int count,int *eof,void *data){

         // hidden ‘s read callback function

         int length;

         length = sprintf(page,"%d",hidden_flag);//before user read this file, we write the ‘hidden_flag‘ to the file

         return length;

}

 

static int proc_write_hidden(struct file * file,const char *buffer,unsigned long count,void *data){

         // hidden ‘s write callback function

         hidden_flag = buffer[0]-‘0‘;//before user write this file , we catch the user‘s input and modify the ‘hidden_flag‘

         return count;

}

static int proc_read_hidden_process(char* page,char**start,off_t off,int count,int *eof,void *data){

         // hidden_process ‘s read callback function

         struct task_struct *task=NULL;

         int num = 0;

         for_each_process(task){

             if(task->cloak==1){

                   sprintf(page+num,"%-4d ",task->pid);

                   num+=5;

             }

         }

         return num-5;

}

static int init_hide(void){

         // init module -> create proc file (hidden and hidden_process)

         struct proc_dir_entry * hidefile = create_proc_entry("hidden",0644,NULL);// create hidden file and its privilage is read&write

         hidefile->read_proc = proc_read_hidden;// call back : read

         hidefile->write_proc = proc_write_hidden;// call back : write

 

         struct proc_dir_entry * hideprocessfile = create_proc_read_entry("hidden_process",

                                                                                    0444,

                                                                                    NULL,

                                                                                    proc_read_hidden_process,

                                                                                    NULL);     

         printk("<0>""hidden file ok\n");

         return 0;

}

static void exit_hide(void){

         // delete proc file

         remove_proc_entry("hidden",NULL);

         remove_proc_entry("hidden_process",NULL);

         printk("<0>""hidden file close\n");

         return;

}

module_init(init_hide);

module_exit(exit_hide);

  

动态加载模块的Makefile

ifneq ($(KERNELRELEASE),)

         obj-m:=hide_module.o

else

         KDIR:=/lib/modules/$(shell uname -r)/build

         PWD:=$(shell pwd)

default:

         $(MAKE) -C $(KDIR) M=$(PWD) modules

clean:

         $(MAKE) -C $(KDIR) M=$(PWD) clean

Endif

  

测试程序

#include<sys/syscall.h>

#include<unistd.h>

#include<stdio.h>

#include<stdlib.h>

int main(){

         int func=0;

         int pid;

         int on;

         char name[200];

         int uid;

         while(1){

         printf("###please select test function:\n0:my system call\n1:hide\n2hide_process by uid\n3hide_process by name&uid\n4:exit\n");

         scanf("%d",&func);

         switch(func){

         case 0:

                   syscall(320);

                   break;

         case 1:

                   printf("input: pid on\n");

                   scanf("%d %d",&pid,&on);

                   syscall(321,pid,on);

                  break;

         case 2:

                   printf("input: uid on\n");

                   scanf("%d %d",&uid,&on);

                   syscall(322,uid,NULL,on);

                   break;      

         case 3:

                   printf("input: uid on name\n");

                   scanf("%d %d %s",&uid,&on,&name);

                   syscall(322,uid,name,on);

                   break;

         default:

                   return 0;

        

         }

         }

        

         return 0;

}

进程隐藏系统调用

标签:blog   http   io   os   使用   ar   strong   for   文件   

原文地址:http://www.cnblogs.com/coolalan/p/3978215.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!