Linux取证分析

进程隐藏相关原理

原理

目前在 Linux 上隐藏进程的技术主要有两种

( 1) 类似于 ps、top 等的命令能够列出包括 init 在内的所有重要的系统进程, 通过对他们的实现过程进行改造来实现进程隐藏, 具体做法是“劫持”ps 的关键系统调用 sys_getdents( ), 从而无法查看包含进程信息的目录。

( 2) ps 命令实际是通过读取 proc文件系统来向用户返回进程信息的, 而 proc 文件系统是通过文件系统( VFS) 接口来实现的, 因此通过劫持文件系统操作函数集( inode_operation 和 file_operations) 中的有关函数, 使得进程信息无法通过文件系统接口输出给用户。

以上两种方法虽然都可实现进程隐藏, 但均是在较高的层次上实现的,
方法 1 虽然在 ps 时看似隐藏了某个进程, 但在 proc中该进程仍然对用户可见
方法 2 是在 VFS 层对内核函数的劫持, 意味着需要先判断输出的系统信息是与进程有关的还是与进程无关的( 与进程无关的并无隐藏的必要)
并且这两种方法都无法满足仅对进程部分信息隐藏的需求, 在实际应用中不够灵活。实际上, 用户对进程信息的访问, 都是通过proc 文件系统完成的, 因此, 实现进程隐藏的根本途径是从 proc 入手, 准确地找出进程信息产生的关键点, 在这些关键点上做一些特殊的处理, 从而达到实现进程隐藏的目的。

Proc文件系统简介

proc 文件系统是一个伪文件系统，它只存在内存当中，而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。用户和应用程序可以通过 proc 得到系统的信息，并可以改变内核的某些参数。由于系统的信息，如进程，是动态改变的，所以用户或应用程序读取 proc 文件时，proc 文件系统是动态从系统内核读出所需信息并提交的。

基于/proc 文件系统如上所述的特殊性，其内的文件也常被称作虚拟文件，并具有一些独特的特点。例如，其中有些文件虽然使用查看命令查看时会返回大量信息，但文件本身的大小却会显示为 0 字节。此外，这些特殊文件中大多数文件的时间及日期属性通常为当前系统时间和日期，这跟它们随时会被刷新（存储于 RAM 中）有关。

为了查看及使用上的方便，这些文件通常会按照相关性进行分类存储于不同的目录甚至子目录中，如/proc/scsi 目录中存储的就是当前系统上所有 SCSI 设备的相关信息，/proc/N 中存储的则是系统当前正在运行的进程的相关信息，其中 N 为正在运行的进程（可以想象得到，在某进程结束后其相关目录则会消失）。

大多数虚拟文件可以使用文件查看命令如 cat、more 或者 less 进行查看，有些文件信息表述的内容可以一目了然，但也有文件的信息却不怎么具有可读性。不过，这些可读性较差的文件在使用一些命令如 apm、free、lspci 或 top 查看时却可以有着不错的表现。

Proc文件系统目录结构

目录名称	目录内容
apm	高级电源管理信息
cmdline	内核命令行
Cpuinfo	关于 Cpu 信息
Devices	可以用到的设备（块设备/字符设备）
Dma Used	DMS channels
Filesystems	支持的文件系统
Interrupts	中断的使用
Ioports	I/O 端口的使用
Kcore	内核核心印象
Kmsg	内核消息
Ksyms	内核符号表
Loadavg	负载均衡
Locks	内核锁
Meminfo	内存信息
Misc	Miscellaneous
Modules	加载模块列表
Mounts	加载的文件系统
Partitions	系统识别的分区表
Rtc	Real time clock
Slabinfo	Slab pool info
Stat	全面统计状态表 s
Swaps	对换空间的利用情况
Version	内核版本
Uptime	系统正常运行时间

进程信息的创建过程

结合实际情况, 一个用户查看某个进程的信息有两种情形

( 1) 用 cat 之类的命令直接读取进程目录下的节点文件
( 2) 用 ls 之类的命令列举所有的进程目录
proc 对于这两种方式分别有不同的处理对于 ls 命令是调用 VFS 的 readdir( ) , 而对于cat 命令则会发生对一系列 lookup 函数的调用。

进程隐藏的实现

通过以上对 proc 文件系统中生成进程信息实现过程的分析, 我们发现由于 Linux 缺乏模块化,难以找到一个统一的入口, 准确地对进程信息实现隐藏, 必须对实际应用中可能出现的情形 用 cat之类的命令直接读取进程目录下的节点文件和用 ls之类的命令列举所有的进程目录, 分别加以考虑。

对函数 proc_pid_lookup 进行修改: 在步骤a 的末尾添加代码, 用于判断该进程号是否为隐藏进程的进程号, 如果是, 则跳转到我们定制的一个函数, 该函数可打印出? 该进程无法查看?之类的调试信息后返回上层调用者; 如果否, 则照常执行步骤b、c

对函数 proc_pid_readdir 进行修改: 在步骤b 中, 当获取一个进程后, 先判断该进程是否为隐藏进程, 如果是则跳转到我们定制的一个函数, 打印出? 该进程无法查看?之类的调试信息后返回上层调用者; 如果否, 则照常执行步骤 b、c。对于进程部分信息的隐藏, 通过文章第 2 部分的分析, 实际上是选择数组 tgid_base_stuff 中哪些节点不被创建的问题, 对它的实现也要包括以下两部分:

( 1) 对函数 proc_pident_lookup 进行修改: 在步骤 a 开始前添加代码, 用于判断要创建的节点是否为需隐藏的节点, 如果是, 则跳转到我们定制的一个函数, 打印出? 该节点无法查看?之类的调试信息后返回上层调用者; 如果否, 则照常执行步骤 b。

( 2) 对函数 proc_pident_readdir 进行修改: 在步骤 a 的末尾添加代码, 用于判断要创建的节点是否为需隐藏的节点, 如果是, 则跳转到我们定制的一个函数, 打印出? 该节点无法查看?之类的调试信息后转到步骤 c; 如果否, 则照常执行步骤 b、c。

结论

进程隐藏是实现进程保护的一种简单可行的方法之一, 虽然可以在从 proc 到 vfs 的各个层次上容易实现对某个进程的隐藏, 但是如果需要对进程部分信息灵活地进行隐藏, 必须在 proc 层准确地找出进程目录以及其下节点生成的关键点, 在这些关键点上来实现进程隐藏。由于 Linux 缺乏模块化的缺点, 在列举目录和查看节点文件时没有统一的入口点, 而这两种对进程信息的访问都会涉及到进程信的生成, 因此, 需要在内核中对每个进程目录或节点文件生成的地方一一做处理。本方法在内核级上分别实现了对进程全部信息以及进程部分信息的隐藏, 如能根据实际需求, 结合一定的隐藏策略, 比如指定某个系统中哪些进程应该被隐藏, 则在实际应用中更具价值。

网络异常排查方法

Windows排查

查看目前的网络连接情况，定位可疑网络连接（结合业务访问排查）

netstat -b -n (管理员权限)

通过网络连接进一步确认可疑连接的PID

netstat -ano

根据PID确定是那个进程

tasklist | findstr xxx

确定此进程的用途以及可否杀死

taskkill /T /F /PID 3036

其他

若以上几步没有解决，使用PC Hunter（基于XueTr源码重新开发）工具对其进行深度排查

Linux排查

确定系统自身的命令是否被恶意替换，如ls、netstat

使用chkrootkit、rkhunter类工具检查下是否存在恶意程序及恶意替换

查看linux自身的网络连接，并定位可疑程序的PID

netstat  -antpl

根据pid查找执行文件的及其路径

lsof -p PID

进一步排查

cd /proc/pidnumber
ls -ail

杀掉对应恶意程序或进程

1 可将/proc/pidnumber 下的恶意程序直接rm –rf
2 根据进程号直接杀死进程 kill -9 pidnumber

其他一些可能用到的命令

1 分析access.log获得访问前10位的ip地址
awk '{print $1}' access.log |sort|uniq -c|sort -nr|head -10
2 查看连接某服务端口最多的的IP地址
netstat -nat | grep "192.168.1.15:1234" |awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -20

tips

一些框架(工具)

内存取证工具

Volatility Github
介绍：http://www.freebuf.com/articles/system/26763.html

获取木马配置文件

通过python脚本来获取木马中的配置文件，诸如ftp、ssh等信息，反向对黑客进行攻击。目前支持Adwind、Adzok、Albertino Advanced RAT等40多个木马。
RATDecoders Github

远程现场取证的事件应急响应框架

一个被安装在目标系统的Python 代理客户端，可以对Python基础设施进行管理和交流。
GRR Rapid Response Github

隐藏进程检测工具

Linux Rootkit (vfs hook) 是一个linux内核模块，是用于检测rootkit的一个小demo。通过读取此内核模块创建的虚拟文件，可检测通过Hook vfs 函数来隐藏的进程。大家可把他作为一个单一的检测工具，也可以集成到诸如OSSEC等HIDS里，通过周期性任务触发来检测并上报可疑事件。

使用方法：

照例就是解压之后 编译加载就好。
unzip process_list.zip;cd process_list;make;make install

相关命令

系统：

uname -a     查看内核/操作系统/CPU信息
cat /etc/issue
cat /etc/redhat-release   查看操作系统版本
cat /proc/cpuinfo    查看CPU信息
hostname     查看计算机名
lspci -tv     列出所有PCI设备
lsusb -tv     列出所有USB设备
lsmod      列出加载的内核模块
env      查看环境变量

资源：

free -m     查看内存使用量和交换区使用量
df -h      查看各分区使用情况
du -sh <目录名>    查看指定目录的大小
grep MemTotal /proc/meminfo   查看内存总量
grep MemFree /proc/meminfo   查看空闲内存量
uptime     查看系统运行时间、用户数、负载
cat /proc/loadavg    查看系统负载

磁盘和分区：

mount | column -t    查看挂接的分区状态
fdisk -l     查看所有分区
swapon -s     查看所有交换分区
hdparm -i /dev/hda    查看磁盘参数(仅适用于IDE设备)
dmesg | grep IDE    查看启动时IDE设备检测状况

网络：

ifconfig     查看所有网络接口的属性
iptables -L     查看防火墙设置
route -n     查看路由表
netstat -lntp     查看所有监听端口
netstat -antp     查看所有已经建立的连接
netstat -s     查看网络统计信息

进程：

ps -ef     查看所有进程
top      实时显示进程状态（另一篇文章里面有详细的介绍）

ps命令可以列出正在运行的进程。以下命令可以列出当前系统上所有正在运行的进程：

ps -A

这个命令列出的信息也许太多，不便于查看。你可以使用less命令通过一个管道输出，分页查看：

ps -A | less

你也可以使用grep来对来做管道输出，查找出某个进程。例如，查找Firefox进程：

ps -A | grep firefox

以树形显示进程

pstree命令同样可以显示进程信息，不过它是以树形式显示进程。

pgrep
给定一个搜索关键词，pgrep命令会返回所有匹配这个关键词的进程ID。

 pgrep iceweasel    
2074

也可以将这个命令与kill命令结合起来干掉一个特定的进程

➜  ~  kill $(pgrep iceweasel)
➜  ~

或者使用

➜  ~  pkill iceweasel
➜  ~

用户：

w      查看活动用户
id <用户名>     查看指定用户信息
last      查看用户登录日志
cut -d: -f1 /etc/passwd   查看系统所有用户
cut -d: -f1 /etc/group   查看系统所有组
crontab -l     查看当前用户的计划任务

服务：

chkconfig –list    列出所有系统服务
chkconfig –list | grep on   列出所有启动的系统服务

程序：

rpm -qa     查看所有安装的软件包

相关文章

Linux入侵取证：从一次应急事件讲起
Linux下基于内存分析的Rootkit检测方法
如何分析 Linux 日志

赏

谢谢你请我吃糖果

微信