使用VS-Code结合源码进行内核及内核模块远程调试的方法

渗透技巧 2年前 (2022) admin

676 0 0

本文来源自平安银河实验室

作者：朱文哲

>>>> 0x01 前言

事情的起因是我们在编写更新HIDS相关的内核模块和eBPF模块代码中有时会遇到一些奇怪的问题需要进行分析，为了分析这些问题就需要对Linux内核及内核模块进行调试，于是就有了这篇文章。

>>>> 0x02 准备内核调试分析环境

我们首先需要准备对应版本的内核调试环境。

我们考虑选用vmware自带的debugStub功能进行内核调试，首先需要手工编辑虚拟机的vmx文件并追加如下代码即可开启该功能：

# 启用64位的CPU调试功能，默认监听端口localhost:8864 debugStub.listen.guest64="TRUE"# 如遇到断点原因不明的失效，可以试试追加下面的设置。debugStub.hideBreakpoints="FALSE"

在完成vmware的配置后，我们就需要下载对应的内核代码进行重新编译从而加入debug符号信息。3.10.0-1160最新版本的内核源码可以在 https://vault.centos.org/7.9.2009/updates/Source/SPackages/kernel-3.10.0-1160.62.1.el7.centos.plus.src.rpm 下载。

具体的rpm包解压等命令如下：

# RPM解压命令rpm2cpio kernel-3.10.0-1160.62.1.el7.centos.plus.src.rpm | cpio -div# 解压源码tar -xvf linux-3.10.0-1160.62.1.el7.tar.xz# 复制当前内核编译参数cp -v /boot/config-$(uname -r) ./linux-3.10.0-1160.62.1.el7/.config # 此时还需要修改.config追加 CONFIG_DEBUG_INFO_BTF=y 参数，编译DEBUG符号信息

完成上述准备工作后就可以开始编译内核了。

# 编译模块, 这个会很耗时且会占用大量的磁盘和内存make modules_installmake install # 检查系统上可用的内核awk -F' '$1=="menuentry " {print $2}' /etc/grub2.cfg # 设置开机从新编译的内核启动grub2-set-default 0

此时生成的600M的vmlinux文件就是我们后续需要调试的带符号的内核文件了。

此外为了方便调试，我们还需要通过修改grub的启动参数禁用内核的kaslr功能。

# 打开/etc/default/grub, 找到GRUB_CMDLINE_LINUX_DEFAULT这行配置然后在最后追加nokaslr# 完成修改后执行如下命令生效grub2-mkconfig -o /boot/grub2/grub.cfg

由于我们已经拥有了内核源码且编译了带有符号的内核文件，接下来就可以使用vscode的远程GDB调试功能进行调试了。

如下图所示，新建一个GDB调试配置文件。

具体的配置如下:

{    // Use IntelliSense to learn about possible attributes.    // Hover to view descriptions of existing attributes.    // For more information, visit: https://go.microsoft.com/fwlink/?linkid=830387    "version": "0.2.0",    "configurations": [      {        "name": "(gdb) linux",        "type": "cppdbg",        "request": "launch",        "program": "${workspaceRoot}/vmlinux",        "miDebuggerServerAddress": "localhost:8864",        "args": [],        "stopAtEntry": true,        "cwd": "${workspaceFolder}",        "environment": [],        "externalConsole": false,        "MIMode": "gdb",        "miDebuggerArgs": "-n",        "targetArchitecture": "x64",        "setupCommands": [          {            "text": "set arch i386:x86-64:intel",            "ignoreFailures": false          },          {            "text": "dir .",            "ignoreFailures": false          },          {            "text": "add-auto-load-safe-path ./",            "ignoreFailures": false          },          {            "text": "-enable-pretty-printing",            "ignoreFailures": true          }        ]      }    ]  }

完成上述配置后即可在代码处下断点进行调试了。

>>>> 0x03 调试内核模块的方法

在完成Linux内核调试的基础上，有时我们还需要对特定的内核模块进行调试分析。

首先我们需要在编译内核模块时追加-g -DDEBUG CFLAGS使内核模块能够被调试。以Elkeid的LKM为例，可以追加debug选项。

debug:    @echo "|-----------------------------------|"    @echo "| building HIDS kernel module Debug |"    @echo "|-----------------------------------|"    $(MAKE) -C $(KERNEL_DIR) M=$(MODULE_DIR) modules EXTRA_CFLAGS="-g -DDEBUG"ifneq ($(BATCH), true)    $(MAKE) -C testendif

完成编译后先加载内核模块

接下来我们需要创建对应的内核模块调试配置，需要注意的是sourceFileMap字段需要把内核模块源码的路径进行关联映射，不然就无法进行源码级的调试。

{    // Use IntelliSense to learn about possible attributes.    // Hover to view descriptions of existing attributes.    // For more information, visit: https://go.microsoft.com/fwlink/?linkid=830387    "version": "0.2.0",    "configurations": [      {        "name": "(gdb) linux",        "type": "cppdbg",        "request": "launch",        "program": "${workspaceRoot}/vmlinux",        "miDebuggerServerAddress": "127.0.0.1:8864",        "args": [],        "stopAtEntry": true,        "cwd": "${workspaceFolder}",        "environment": [],        "externalConsole": false,        "MIMode": "gdb",        "miDebuggerArgs": "-n",        "targetArchitecture": "x64",        "sourceFileMap":{          "/root/Elkeid/driver/LKM/": "${workspaceFolder}/LKM"        },        "setupCommands": [          {            "text": "set arch i386:x86-64:intel",            "ignoreFailures": false          },          {            "text": "dir .",            "ignoreFailures": false          },          {            "text": "add-auto-load-safe-path ./",            "ignoreFailures": false          },          {            "text": "-enable-pretty-printing",            "ignoreFailures": true          }        ]      }    ]  }

为了调试，我们需要先查询到内核模块的内存地址，需要注意的是这个地址每次都会变。

cat /sys/module/hids_driver/sections/.textcat /sys/module/hids_driver/sections/.datacat /sys/module/hids_driver/sections/.bss # 或者执行一下命令自动生成echo "-exec add-symbol-file LKM/hids_driver.ko `cat /sys/module/hids_driver/sections/.text`"

执行结果如下图所示：

完成后我们就可以使用vs-code加载到内核上，并在debug console执行如下命令。

-exec add-symbol-file LKM/hids_driver.ko 0xffffffffc07db000

使用VS-Code结合源码进行内核及内核模块远程调试的方法

尝试在目标代码处下断点

此时我们就可以使用vscode对内核模块进行源码调试了。

同样的我们也可以结合gdb命令进行信息查看部分信息。

使用VS-Code结合源码进行内核及内核模块远程调试的方法

例如我们可以使用gdb命令查看recv_data中实际的数据是什么。

-exec x/100bx 0xffff8801753b44e0

或者查看query的数据是什么。

-exec x/s 0xffff8801753b44e0 + 12

使用VS-Code结合源码进行内核及内核模块远程调试的方法

至此，我们就具备了使用vscode结合源码对内核模块进行调试分析的能力。

该方法相比反复重新编译内核模块并使用printk进行调试的方法有一定的优势，但依然可能遇到优化导致的部分信息无法获取的情况，因此将该方法与printk结合能够更好的辅助我们对Linux内核模块进行调试。

>>>> 0x04 使用VirtualBox进行内核调试的方法

如果是使用VirtualBox虚拟机的话，在内核调试部分相比VMware会稍微复杂一些。

首先关闭virtualbox虚拟机，并创建用于调试的串口pipe。

成功设置并打开虚拟机后即可在宿主机的/tmp目录下发现debug-pipe管道。

使用socat将pipe转换为PTY, 之后就可以直接使用gdb命令remote命令进行连接调试了。

# 在宿主机上执行如下代码socat -d -d -d -d /tmp/debug-pipe PTY,link=/tmp/debug-pipe-pty

至此调试的所有前置工作都已经完成了，由于我们已经拥有了内核源码且编译了带有符号的内核文件，接下来就可以使用vscode的远程GDB调试功能进行调试了。

如下图所示，新建一个GDB调试配置文件。

具体配置文件如下，主要的区别就是miDebuggerServerAddress处的不同：

{    // Use IntelliSense to learn about possible attributes.    // Hover to view descriptions of existing attributes.    // For more information, visit: https://go.microsoft.com/fwlink/?linkid=830387    "version": "0.2.0",    "configurations": [      {        "name": "(gdb) linux",        "type": "cppdbg",        "request": "launch",        "program": "${workspaceRoot}/vmlinux",        "miDebuggerServerAddress": "/tmp/debug-pipe-pty",        "args": [],        "stopAtEntry": true,        "cwd": "${workspaceFolder}",        "environment": [],        "externalConsole": false,        "MIMode": "gdb",        "miDebuggerArgs": "-n",        "targetArchitecture": "x64",        "setupCommands": [          {            "text": "set arch i386:x86-64:intel",            "ignoreFailures": false          },          {            "text": "dir .",            "ignoreFailures": false          },          {            "text": "add-auto-load-safe-path ./",            "ignoreFailures": false          },          {            "text": "-enable-pretty-printing",            "ignoreFailures": true          }        ]      }    ]  }