https://blog.csdn.net/Fly_hps/article/details/86172698
https://www.52pojie.cn/thread-940605-1-1.html
https://www.cnblogs.com/0616–ataozhijia/p/8561796.html
Kernel proc
内核修改
检测都是通过 proc 进行的,因此我们需要从 proc 入手
要修改的数据:
/fs/proc/base.c、/fs/proc/array.c
要修改对以下文件的写入:
status, stat
修改点:
-
base line:285
-
else{
-
if(strstr(svmname, “trace”)){
-
return sprint(buffer, “%s”, “sys_epoll_wait”);
-
}
-
return sprint(buffer, “%s”, symname);
-
}
-
array line: 134
-
static const char * const task_state_array[] = {
-
“R (running)”, /* 0*/
-
“S (sleeping)”, /* 1*/
-
“D (disk sleep)”, /* 2*/
-
“S (sleeping)”, /* 4*/
-
“S (sleeping)”, /* 8*/
-
“Z (zombie)”, /* 16*/
-
“X (dead)”, /* 32*/
-
“x (dead)”, /* 64*/
-
array line 187
-
“Gid:\t%d\t%d\t%d\t%d\n”,
-
get_task_state(p),
-
task_tgid_nr_ns(p, ns),
-
pid_nr_ns(pid, ns),
-
ppid, /*tpid*/0,
-
cred->uid, cred->euid, cred->suid, cred->fsuid
-
cred->gid, cred->egid, cred->sgid, cred->fsgid);
修改完成后,编译内核,刷入系统
2. Demo
导入内核源代码
定位到/fs/proc/base.c 文件中找到 status 相关的方法
status 文件中的信息如下图
task_name 方法
task_state 方法
想把status数据中的状态信息进行修改的话就要修改task_status_array内容( 修改点一),这样便绕过了 State
对 TracePid 进行绕过:TracePid 通常都是对父进程 pid 进行检测,这里将 ppid 改为 0,这样不管是否为调试状态,TracePid 都无法检测出
定位到 Stat 相关方法
Stat 文件中存放着用户属性的简短描述符
跳转到 do_task_start 方法
定位到写数据的相关代码
找到 state 的位置
跳转到 state 被赋值的地方
get_task_state 方法
修改相应的 state 数据就会绕过检测
对 wchan 文件的修改
whan 文件如果是在调试过程中会变成 Trace 数据
结果验证
