RootKit端口深层隐藏

╰半橙微兮° 2022-11-21 11:26 201阅读 0赞

### RootKit端口深层隐藏 ###

用户态下隐藏端口信息，就是把/proc/下端口相关信息过滤掉。具体来说，看下面一张表格：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2dvZnJlc2htYW4_size_16_color_FFFFFF_t_70_pic_center]  
可以看一下**net/ipv4/tcp.c**和**net/ipv4/tcp\_ipv4.c**的开头注释，列举了 TCP/IP 协议栈的开发者们。

下面我们以表格第一行的IPv4版本TCP为例，做端口隐藏实验。

首先看一下`cat /proc/net/tcp`：  
![在这里插入图片描述][20201031235540198.png_pic_center]  
我们再看一下**tcp4\_seq\_show**：

// net/ipv4/tcp_ipv4.c
    #define TMPSZ 150
    static int tcp4_seq_show(struct seq_file *seq, void *v)
    { 
    	struct tcp_iter_state *st;
    	struct sock *sk = v;
    
    	seq_setwidth(seq, TMPSZ - 1);
    	if (v == SEQ_START_TOKEN) { 
    		seq_puts(seq, " sl local_address rem_address st tx_queue "
    			   "rx_queue tr tm->when retrnsmt uid timeout "
    			   "inode");
    		goto out;
    	}
    	st = seq->private;
    
    	if (sk->sk_state == TCP_TIME_WAIT)
    		get_timewait4_sock(v, seq, st->num);
    	else if (sk->sk_state == TCP_NEW_SYN_RECV)
    		get_openreq4(v, seq, st->num);
    	else
    		get_tcp4_sock(v, seq, st->num);
    out:
    	seq_pad(seq, '\n');
    	return 0;
    }
    // fs/seq_file.c
    void seq_puts(struct seq_file *m, const char *s)
    { 
    	int len = strlen(s);
    
    	if (m->count + len >= m->size) { 
    		seq_set_overflow(m);
    		return;
    	}
    	memcpy(m->buf + m->count, s, len);
    	m->count += len;
    }

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2dvZnJlc2htYW4_size_16_color_FFFFFF_t_70_pic_center]: /images/20221120/427af298abc44a09b46b9df24c2c21cd.png
[20201031235540198.png_pic_center]: /images/20221120/b7c624fa4c4e446ead6a9e390f309eb5.png