???????? 通過內(nèi)核入侵是木馬入侵 Linux 系統(tǒng)的一種重要形式，其原理是利用Linux 內(nèi)核提供的機(jī)制來實(shí)現(xiàn)木馬的各種功能，主要是通過內(nèi)核編程來實(shí)現(xiàn)。本文重點(diǎn)研究了內(nèi)核入侵的兩種方法：直接對內(nèi)核源代碼進(jìn)行修改，利用Linux 的模塊機(jī)制。最后在此基礎(chǔ)上完成了一個(gè)基于內(nèi)核入侵的木馬設(shè)計(jì)與實(shí)現(xiàn)。
關(guān)鍵詞: 內(nèi)核入侵，木馬，模塊，源碼修改
???????? 木馬是網(wǎng)絡(luò)入侵中的常用技術(shù)，隨著人們對網(wǎng)絡(luò)和系統(tǒng)安全研究的逐漸深入，木馬技術(shù)也隨之不斷發(fā)展。當(dāng)前，大多數(shù)的木馬都是針對Windows 操作系統(tǒng)設(shè)計(jì)的，對于日漸普及的Linux 系統(tǒng)研究的較少。本文將研究Linux 環(huán)境下的木馬技術(shù)，并重點(diǎn)研究了內(nèi)核入侵技術(shù)。
???????? 內(nèi)核入侵是當(dāng)前Linux 系統(tǒng)安全方面研究的熱點(diǎn)和難點(diǎn)，一方面，由于內(nèi)核入侵涉及到很多系統(tǒng)底層的相關(guān)知識，通常比較難以入手，而且對內(nèi)核的改動很容易影響系統(tǒng)的穩(wěn)定運(yùn)行；另一方面，通過修改操作系統(tǒng)內(nèi)部的某些機(jī)制可以實(shí)現(xiàn)非常強(qiáng)大的功能，對入侵者來說無疑具有很強(qiáng)的誘惑力。在Linux 環(huán)境下，內(nèi)核編程主要有兩種方法，一種是直接對內(nèi)核源代碼進(jìn)行修改，然后重新編譯、使用新內(nèi)核，另一種方法就是利用Linux 的模塊機(jī)制。
???????? 為了保持內(nèi)核的精簡，同時(shí)便于對內(nèi)核功能的擴(kuò)展，Linux 提供了模塊機(jī)制。模塊，實(shí)際上就是編譯好的目標(biāo)文件，當(dāng)操作系統(tǒng)啟動以后，可以根據(jù)需要將模塊插入內(nèi)核，然后模塊就作為內(nèi)核的一部分。當(dāng)前對于Linux 內(nèi)核入侵的討論大多集中在如何應(yīng)用模塊來實(shí)現(xiàn)內(nèi)核的入侵，如果一個(gè)系統(tǒng)支持模塊的插入，則這種方法可以達(dá)到很好的入侵效果。但是，一些對于安全比較敏感的系統(tǒng)常常不提供對模塊的支持，這種情況下，通常的辦法就不能入侵到內(nèi)核，因此本文中主要介紹對內(nèi)核源碼修改的內(nèi)核入侵方法。