py5ktlmgf
/
reptile
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
Branches Tags
${ item.name }
Create tag ${ searchTerm }
Create branch ${ searchTerm }
from '3ed0d5f8f8'
${ noResults }
reptile/doc/mqc_kernel代码泛读.md

1.6 KiB
Raw Blame History Escape

概述

该项目是一个Linux内核模块包含了多个组件旨在提供隐藏进程、文件、目录、网络连接等功能并包含一个后门功能。代码通过挂钩hookingLinux内核函数来实现其功能涉及的Linux内核版本代码检查表明它兼容多个版本的内核。

主要阅读文件

Reptile-master\kernel\string_helpers.c

Reptile-master\kernel\util.c

Reptile-master\kernel\backdoor.c

Reptile-master\kernel\dir.c

Reptile-master\kernel\file.c

Reptile-master\kernel\Kbuild

Reptile-master\kernel\main.c

Reptile-master\kernel\module.c

Reptile-master\kernel\network.c

Reptile-master\kernel\proc.c

主要功能

隐藏进程proc.c通过修改任务结构体的标记来控制特定进程是否对系统调用如kill和stat等隐藏。

隐藏目录和文件dir.c 和 file.c通过挂钩文件系统相关的内核函数如fillonedir和vfs_read来控制目录和文件的可见性。

隐藏网络连接network.c通过维护一个隐藏连接列表挂钩网络相关的内核函数如tcp4_seq_show和udp4_seq_show来控制网络连接的可见性。

后门功能backdoor.c通过解析特殊的“魔术包”来执行远程shell命令允许攻击者远程执行命令。

模块控制module.c提供了隐藏和显示模块的功能允许模块在系统的模块列表中隐藏自己。

字符串处理string_helpers.c提供了字符串处理的辅助函数如strreplace和kstrdup_quotable。

实用工具函数util.c提供了一些实用工具函数如get_cmdline用于获取进程的命令行参数。