隱藏技術在計算機系統安全中應用十分廣泛，尤其是在網絡攻擊中，當攻擊者成功侵入一個系統后，有效隱藏攻擊者的文件、進程及其加載的模塊變得尤為重要。本文將討論Linux系統中文件、進程及模塊的高級隱藏技術，這些技術有的已經被廣泛應用到各種后門或安全檢測程序之中，而有一些則剛剛起步，仍然處在討論階段，應用很少。

　　1.隱藏技術

　　1.1.Linux下的中斷控制及系統調用

　　Intel x86系列微機支持256種中斷，為了使處理器比較容易地識別每種中斷源，把它們從0~256編號，即賦予一個中斷類型碼n,Intel把它稱作中斷向量。

　　Linux用一個中斷向量（128或者0x80）來實現系統調用，所有的系統調用都通過唯一的入口system_call來進入內核，當用戶動態進程執行一條int 0x80匯編指令時，CPU就切換到內核態，并開始執行system_call函數，system_call函數再通過系統調用表sys_call_table來取得相應系統調用的地址進行執行。系統調用表sys_call_table中存放所有系統調用函數的地址，每個地址可以用系統調用號來進行索引，例如sys_call_table[NR_fork]索引到的就是系統調用sys_fork（）的地址。

　　Linux用中斷描述符（8字節）來表示每個中斷的相關信息，其格式如下：

　　偏移量31….16　　一些標志、類型碼及保留位

　　段選擇符　　　　　　偏移量15….0

　　所有的中斷描述符存放在一片連續的地址空間中，這個連續的地址空間稱作中斷描述符表（IDT），其起始地址存放在中斷描述符表寄存器（IDTR）中，其格式如下：

　　32位基址值　　界限

　　其中各個結構的相應聯系可以如下表示：

　　通過上面的說明可以得出通過IDTR寄存器來找到system_call函數地址的方法：根據IDTR寄存器找到中斷描述符表，中斷描述符表的第0x80項即是system_call函數的地址，這個地址將在后面的討論中應用到。

　　1.2.Linux 的LKM（可裝載內核模塊）技術

　　為了使內核保持較小的體積并能夠方便的進行功能擴展，Linux系統提供了模塊機制。模塊是內核的一部分，但并沒有被編譯進內核，它們被編譯成目標文件，在運行過程中根據需要動態的插入內核或者從內核中移除。由于模塊在插入后是作為Linux內核的一部分來運行的，所以模塊編程實際上就是內核編程，因此可以在模塊中使用一些由內核導出的資源，例如Linux2.4.18版以前的內核導出系統調用表（sys_call_table）的地址，這樣就可以根據該地址直接修改系統調用的入口，從而改變系統調用。在模塊編程中必須存在初始化函數及清除函數，一般情況下，這兩個函數默認為init_module()以及clearup_module()，從2.3.13內核版本開始，用戶也可以給這兩個函數重新命名，初始化函數在模塊被插入系統時調用，在其中可以進行一些函數及符號的注冊工作，清除函數則在模塊移除系統時進行調用，一些恢復工作通常在該函數中完成。

　　1.3.Linux下的內存映像

　　/dev/kmem是一個字符設備，是計算機主存的映像，通過它可以測試甚至修改系統，當內核不導出sys_call_table地址或者不允許插入模塊時可以通過該映像修改系統調用，從而實現隱藏文件、進程或者模塊的目的。

　　1.4.proc 文件系統

　　proc文件系統是一個虛擬的文件系統，它通過文件系統的接口實現，用于輸出系統運行狀態。它以文件系統的形式，為操作系統本身和應用進程之間的通信提供了一個界面，使應用程序能夠安全、方便地獲得系統當前的運行狀況何內核的內部數據信息，并可以修改某些系統的配置信息。由于proc以文件系統的接口實現，因此可以象訪問普通文件一樣訪問它，但它只存在于內存之中。

關鍵字：Linux 高級 隱藏