C语言程序设计常见错误解析.pdf

软件开发 Software Development Android 系统Rootkit原理 if（（（*（unsigned long *）vector_swi_ addr） 0xfffff000）==0xe28f8000）{ offset=（（*（unsigned long *）vector_ 韩诗源 尹浩然 杨 晶 中国人民公安大学 100038 swi_addr） 0xfff）+8 ； 【文章摘要】 被使用于保护 sys_call_table_ 防止受到入 sys_call_table=（void *）vector_swi_ 最早 Rootkit 用于善意用途，但随 侵者的破坏。但是，这些保护措施，很容易 addr+offset ； 着科学技术水平的不断发展，Rootkit 被攻击者使用 kmem 的设备接入技术而破 break ； 被黑客恶意地用在攻击他人的计算 坏。但是讨论其他那些让保护失效的技术 } 机系统，且潜伏较深，不易检测。随着 并非本文的目的。 } Android 系统平台手机的普及，Android return ； 系统平台的木马也在日益增多，而为 三、有哪些信誉好的足球投注网站 sys_call_table } 了使得木马程序拥有更强的生存能 如果 sys_call_table 的符号没有导出， 将向量表中 vector_swi 异常处理例程 力，在木马的设计中会考虑到 Rootkit 在包含内核的符号表信息的 kallsyms 信 的地址替换为 fake vector_swi 处理程序代 的设计，Rootkit 使得木马具有隐藏的 息文件中并没有 sys_call_table，将会很难 码的地址，便实现了恶意代码的执行，从 特性，使得木马不容易被用户以及其 得到不同的平台内核版本下的 sys_call_ 而达到了 Rootkit 隐藏木马的目的。 他第三方安全软件发现。 table 地址。因此，我们需要研究通过不需 要符号表的方法获得 sys_call_table 地址 四、总结 【关键词】 的方法。 伴随着虚拟化技术在手机中的应用， android系统；Android Rootkit；手机木马 以下是获得 sys_call_table 地址的方 未来的手机 Rootkit 技术，将会越来越先 法，下面的代码是依赖于 ARM 进程的中 进，所以管手机用户、手机厂商还是手机 一、引言 断实现。一般来说，在 ARM 进程中，当中