杨小邪

  只有在第四部分会给大家一些不需要LKM支持的源代码。本文的绝大多数想法一样可以在Linux2.2.x上实现(也许你会需要一些小小的改动)。

这篇文章会有一个特别的章节来帮助系统管理员进行系统安全防护。你(作为一名Hacker)也必须仔细阅读这些章节。你必须要知道所有系统管理员知道的,甚至更多。你也会从中发现很多优秀的想法。这也会对你开发高级的入侵系统的LKMs有所帮助。

因此，通读这篇文章吧。

第一部分. 基础知识

1.1 什么是LKMs

LKMs就是可卸载的内核模块(Loadable Kernel Modules)。这些模块本来是Linux系统用于扩展他的功能的。使用LKMs的优点有:他们可以被动态的加载,而且不需要重新编译内核。由于这些优点,他们常常被特殊的设备(或者文件系统),例如声卡等使用。

每个LKM至少由两个基本的函数组成:


int init_module(void) /*用于初始化所有的数据*/
{
...
}
void cleanup_module(void) /*用于清除数据从而能有一个安全的退出*/
{
...
}




加载一个模块(常常只限于root能够使用)的命令是:


# insmod module.o




这个命令让系统进行了如下工作:

加载可执行的目标文件(在这儿是module.o)

调用 create_module这个系统调用(至于什么叫系统调用,见1.2)来分配内存。

不能解决的引用由系统调用get_kernel_syms进行查找引用。

在此之后系统调用init_module将会被调用用来初始化LKM->执行 int inti_module(void) 等等