有没有办法在内存中找到加载的内核代码?我的意思是引导加载程序加载内核并执行它。内核解压自身并开始初始化硬件并运行init。据我了解,内核是从磁盘的 (b)zImage 保存和加载的。我想在系统内存中找到这段未更改的代码并进行检查。
我有以下增强功能:
为加载的内核代码创建一个 sha256 散列并将其与定义的值进行比较以审计系统的安全性。因此,我加载了一个模块,它试图在内存中找到内核代码并从中计算出 sha256 和。
我试过这样在内存中找到内核代码:
static struct resource *adhoc_next_resource(struct resource *p, bool sibling_only)
{
if (sibling_only)
return p->sibling;
if (p->child)
return p->child;
while (!p->sibling && p->parent)
p = p->parent;
return p->sibling;
}
static struct resource *get_kernel_code (void) {
struct resource *kern_code = &iomem_resource;
while (kern_code && strcmp(kern_code->name ? kern_code->name : "","Kernel code") != 0) {
kern_code = adhoc_next_resource(kern_code, false);
}
return kern_code;
}
int init_module(void)
{
void *start,*end;
size_t length;
SHA256_CTX sha256;
u32 *hash;
struct resource *kern_code;
kern_code = get_kernel_code();
if ( IS_ERR(kern_code) )
return -EINVAL;
start = (void*)phys_to_virt(kern_code->start);
end = (void*)phys_to_virt(kern_code->end);
length = kern_code->end - kern_code->start;
printk("%s[%s]:%s address: %0*llx-%0*llx \n", MODULE_NAME, __FUNCTION__, kern_code->name ? kern_code->name : "", 4, start, 4, end );
printk("%s[%s]: length: %lu \n", MODULE_NAME, __FUNCTION__, length);
printk ( KERN_INFO "%s[%s]: Init sha256\n", MODULE_NAME, __FUNCTION__ );
sha256_init(&sha256);
printk ( KERN_INFO "%s[%s]: Give kernel code to sha256\n", MODULE_NAME, __FUNCTION__ );
sha256_update ( &sha256, start, length );
hash = kmalloc ( 4 * sizeof(u32), GFP_KERNEL );
printk ( KERN_INFO "%s[%s]: Finalize sha256\n", MODULE_NAME, __FUNCTION__ );
sha256_final ( &sha256, (BYTE*)hash );
printk ( KERN_INFO "%s[%s]: Hash value of kernel code: %x - %x - %x - %x \n", MODULE_NAME, __FUNCTION__, hash[0], hash[1], hash[2], hash[3] );
kfree(hash);
return 0;
}
但是,每次重启时我都会得到不同的 sha256 总和。
- 请解释发生了什么?内核代码内存中的某些内容发生了变化。但它能是什么呢?
- 这个概念会起作用吗?或者不是每次都在内存中加载相同的代码。
最佳答案
我自己找到了这个问题的答案:
我对内核的内存位置等做了更多的研究。我发现在运行期间,内核“.text”部分(提取的 bzImage)未存储在 iomem_resource 列表中。我检查了“内核代码”资源中的地址范围(参见我之前发布的代码),发现大部分位都是 0。只有在开头和结尾处才有一些代码。但这不是“内核代码”我没有找到答案这个“内核代码”部分有什么问题。也许它必须是内核镜像的“.text”部分,但不是在我的系统上(ARM 32 位和 yocto-linux 4.10.17)。
Yasushi 发布的 KASLR 功能 ( info here ) 不是 ARM 32 位架构的问题。我发现内核里面定义了这个特性在这种类型的系统上是没有启用的。但这是一个非常有趣的功能。
为了获取“.text”部分的内核地址,我现在使用 kallsysm 功能。这是所有地址和导出变量的大列表。有两个变量定义开始和结束。我使用以下代码:
start = (void*)kallsyms_lookup_name("_stext"); end = (void*)kallsyms_lookup_name("_etext");
注意:注意虚拟内存与物理内存位置。 Kallsysm 输出是虚拟内存位置。 (如有错误请指正)
最后:对于相同的内核代码,每次启动时我都得到相同的校验和,我可以继续完成我的审计模块:-)。
关于使用 sha256 和检查内存中的 Linux 内核代码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49065537/