call *sys_call_table(0, %eax, 4)    //Calling sys_call_table[eax]
movl %eax,PT_EAX(%esp)    //Storing of return value

系统调用例程核心。eax寄存器存放系统调用号，即sys_call_table数组索引值，指向
某个特定系统调用函数。函数返回值将存放到栈中的eax寄存器中，返回给用户空间。尽管
系统调用例程核心很适合劫持，但我们不利用此位置，因为系统调用表指针是当前各种扫描
工具首要的检测点。 
 
cli                                   //Clear Interrupts
movl TI_flags(%ebp), %ecx              //Copy process flags in ecx
testw $_TIF_ALLWORK_MASK, %cx     //Is needed extra work?
jne syscallexitwork                   //If so, do extra work
 当系统调用函数返回时，系统会屏蔽所有中断，进程测试是否有额外的工作（确信不丢
失需要调度或发信号挂起的中断）。上面的代码片段提供了另一个劫持机会。movl和testw
指令共8字节大小，足以存放JMP指令，而且这两条指令完全独立不在任一标签体内，可复制。 

RESTORE_REGS     //CPU’s registers restoration
addl $4, %esp       //Clearing up system call number from stack
iret           //Return from interrupt

  调用例程实现体尾部即准备从系统态切回到用户态。用暂存在栈上的值恢复所有CPU寄
存器值，清除系统调用号，触发iret指令。尾部指令也可作为劫持位置，但问题是当进程被
跟踪时，并不会使用这些代码片段。
3.2 改变系统调用例程中的程序控制流
  通过3.1 小节分析，我们已经在系统调用例程中确定了两个合适位置可劫持系统控制流
程。在 2.6内核的所有版本都兼容这种方式的更改，具备很好的兼容性和可用性。我们的目
的是修改系统调用函数的返回值，即在原函数调用后，再劫持转入到 hack 函数执行。故，
我们将确定选择第二个位置实现劫持，如图2 所示。否则，若在函数还未调用之前，转入攻
击者设置的hack函数时，执行完hack 函数后，再调用原函数，则无法实现hack函数目的，
如隐藏文件效果等，而且若不再调用原函数，显然也不合乎逻辑，否则上层应用程序明明是

调用 fork 函数创建一个子进程，却没有实现此功能，很容易被用户感觉到存在内核钩子程
序。

我们重写了movl TI_flags(%ebp), %ecx 和testw $_TIF_ALLWORK_MASK, %cx
两条指令，并跳转到trampoline()函数中重新执行，但在重新执行上面两条指令之前，事先
保存了栈顶地址值，以确保能准确访问到系统调用结果，而后调用hack函数，修改原系统调
用的结果信息，如过滤待隐藏的木马文件、恶意进程等。执行完此函数后，再对此函数的栈
痕迹进行清理，最后重新jmp到原位置继续执行。
 
实验
 
  为了验证前面提出的劫持方法，笔者基于此方法开发了两款rootkits，分别为MoleKit
和 Powerkit。MoleKit能够借助/dev/mem文件有效渗透到系统。Molekit可提供一些基本的
服务，如进程、目录隐藏等。因为这种攻击方式涉及到很多启发式搜索，如在内存中寻找代
码片段特征值等，但这也是一种很好的思路，可以在不借助可加载模块支持前提下，实现系
统渗透；Powerkit则是使用内核模块渗透到内核，其主要好处是可方便访问内核API，并实
现 keylogging或权限提升等。
小结
 
本文给出了劫持Linux内核的一个新方法，此类攻击在2.6内核的所有版本上均验证可
行，并给出了两款基于此技术的Rootkit，且当前并没有很好的Anti-Rootkit或扫描器等工
具能够检测此类攻击。