Volatility学习笔记三-Volatility运作流程之linux_arp插件浅析

0x00 前情提要

自从前两篇文章里对Vol的内存取证功能有一定使用经验之后,打心底里对Vol编写者的技术水平有了崇拜之情。想想当年写Linux内核分析的作业以及工程实践linux下rootkit分析实现时被linux内核源码整的死去活来,一座金山银山摆在眼前却不知道怎么去挖。

现在看到了vol把linux内核、windows内核以及mac内核玩的这么6,真是超级膜拜。当下在傍晚跑步刷圈的时候决定把这个项目抓来分析解剖,一来看看怎么去用python实现一个框架式的牛逼工具(本来想肢解sqlmap的,奈何web经验不足),二来对各种内核的实现机理、数据结构这些杂七杂八不知从何学起的知识点有个导向性的学习规划。如此美好的契机,早已让我摩拳擦掌,把持不住,连就快要提交的论文初稿都放下了。

再次感谢vol的作者iMHLv2以及背后的基金会吧。

废话不说,本文主要的就是对我这两天学习vol的总结,挑简单的来,主要是关于三点:

  • vol主线程运行机理
  • vol插件的类派生
  • vol插件运行机理
  • Linux_arp插件运行机理

0x01 Vol主线程运行机理

首先我们去从vol的vol.py开始审视其源码。

def main():

    # 打印版本信息
    sys.stderr.write("Volatility Foundation Volatility Framework {0}\n".format(constants.VERSION))
    sys.stderr.flush()

    # 初始化debug模块
    debug.setup()
    # Load up modules in case they set config options
    registry.PluginImporter()

    ## Register all register_options for the various classes
    registry.register_global_options(config, addrspace.BaseAddressSpace)
    registry.register_global_options(config, commands.Command)

    if config.INFO:
        print_info()
        sys.exit(0)

    ## Parse all the options now
    config.parse_options(False)
    # Reset the logging level now we know whether debug is set or not
    debug.setup(config.DEBUG)

    module = None
    # 获取插件的字典 插件名:插件体
    cmds = registry.get_plugin_classes(commands.Command, lower = True)
    for m in config.args:
        # 找到参数里的第一个插件名
        if m in cmds.keys():
            # module即为插件名 比如Linux_arp
            module = m
            break

    if not module: # 插件不存在
        config.parse_options()
        debug.error("You must specify something to do (try -h)")

    if module in cmds.keys():
        # 插件存在,则获取插件对象,并将config赋值module这个插件的_config变量
        command = cmds[module](config)
        
        # hook 上help函数
        config.set_help_hook(obj.Curry(command_help, command))
        config.parse_options()

        if not config.LOCATION:
            debug.error("Please specify a location (-l) or filename (-f)")

        # 开始执行插件
        command.execute()

源码洋洋洒洒一大篇,看起来还是很吃力的。流程图如下:

上图是主线程的启动流程。

  1. vol从自身配置中获取插件字典,该字典的格式是[插件名:插件体]
  2. 主线程从命令行参数里获取第一个长得像是插件名的参数,就像我们输入的linux_arp一样的参数
  3. 参数:
    1. 不存在像是插件名的字符串则报错并退出
    2. 存在则以插件名、配置啦初始化插件。
  4. 在插件上hook help函数
  5. 开始执行插件

get_plugin_classes函数用于获取一切以commands.Command为父类的派生类字典。

0x02 Vol插件的类派生

如上图可见,vol中的插件以commands的Command类为父类,分别派生出AbstractWindowsCommand类、AbstractMacCommand类以及AbstractLinuxCommand类,这分别代表三个平台插件的基类,这三类为不同平台的插件定义了一些共同的函数,以供具体的插件继承调用,当然也方便了我们自定义插件时复用这些函数。

0x03 Vol插件运行机理


上图则是插件的运行机理。

首先获取所有已注册的Profile的派生类集合。

def execute(self):
    # 获取Profile类的子类
    profs = registry.get_plugin_classes(obj.Profile)

接着除了kdbgscanimageinfo两个插件可以不提供profile而使用默认的profile--WinXPSP2x86以外,其他插件没有提供profile参数就不给运行的机会。

    if plugin_name != "mac_get_profile":
        if self._config.PROFILE == None:
            if plugin_name in ["kdbgscan", "imageinfo"]:
                self._config.update("PROFILE", "WinXPSP2x86")
            else:
                debug.error("You must set a profile!")
         
            if self._config.PROFILE not in profs:
                debug.error("Invalid profile " + self._config.PROFILE + " selected")
            if not self.is_valid_profile(profs[self._config.PROFILE]()):
                debug.error("This command does not support the profile " + self._config.PROFILE)

接着执行插件的calculate函数,这个函数我们在自定义插件的时候一般会实现,作为vol和我们的自定义插件之间的调用接口,即插件的执行。

    # # 首先执行calculate
    data = self.calculate()

随后基于输出格式确定渲染函数。

    function_name = "render_{0}".format(self._config.OUTPUT)

若非sqlite输出且存在输出的目标文件,则进行写文件。否则将结果输出至标准输出。

    if not self._config.OUTPUT == "sqlite" and self._config.OUTPUT_FILE:
        ...
    else:
        outfd = sys.stdout

其中默认以时间戳_插件名的命名方式来创建输出文件,若指定了输出文件,则使用用户自定义的。

        out_file = '{0}_{1}.txt'.format(time.strftime('%Y%m%d%H%M%S'), plugin_name) if      self._config.OUTPUT_FILE == '.' else self._config.OUTPUT_FILE
        if os.path.exists(out_file):
            debug.error("File " + out_file + " already exists.  Cowardly refusing to overwrite it...")
        print 'Outputting to: {0}'.format(out_file)
        outfd = open(out_file, 'wb')

接着执行插件对应的渲染函数render_output

    func = getattr(self, function_name)

最后将结果输出到输出对象里。

    func(outfd, data)

0x03 Vol-Linux_arp插件运行机理

本节对Linux_arp插件的运行机理进行分析。

从vol的类派生图中可知,linux_arp这个插件顺着Command-AbstractLinuxCommand一路派生,终于成为一个
有一个以IP Mac DevName为内容的结构体和若干函数的类。

a_ent结构体

该结构体的格式如下:

class a_ent(object):
    def __init__(self, ip, mac, devname):
        self.ip = ip
        self.mac = mac
        self.devname = devname

calculate函数

既然每个插件的入口是calculate函数,那么我们则从该函数入手。

这里我先声明我的测试环境为

OS:                 Ubuntu Server
Version:            14.04
Kernel Version:     3.19.0-25

代码及注释如下:

def calculate(self):
    linux_common.set_plugin_members(self)

    # 获取邻接表偏移地址
    neigh_tables_addr = self.addr_space.profile.get_symbol("neigh_tables")

    # 邻接表是链表么?
    # 此处的neigh_table是内核头文件里 include/net/neighbour.h里的结构
    # linux 3.19.0-25中neigh_table非链表
    if hasattr("neigh_table", "next"):
        # 是,获取内存映射文件的邻接表起始地址,随后遍历链表,生成表的list
        ntables_ptr = obj.Object("Pointer", offset = neigh_tables_addr, vm = self.addr_space)
        tables = linux_common.walk_internal_list("neigh_table", "next", ntables_ptr)
    else:
        # 否,创建一个Pointer的数组
        # 内存映射的分布
        # vm            ===>    +---------------+
        #                       |               |
        #                       |               |
        # ntables_addr  ===>    |---------------|  <=== Array.origin_offset
        # Array.current --->    |////pointer////|  <----+
        #                       |---------------|       |
        #                       |////pointer////|       |
        #                       |---------------|       +-- Array.count = 4
        #                       |////pointer////|       |
        #                       |---------------|       |
        #                       |////pointer////|  <----+
        #                       |---------------|
        #                       |               |
        #                       +---------------+
        # 然后以neigh_table来解析创建table数组,因为我们可能有多张网卡,所以会有多个arp表

        tables_arr = obj.Object(theType="Array", targetType="Pointer", offset = neigh_tables_addr, vm = self.addr_space, count = 4)
        tables = [t.dereference_as("neigh_table") for t in tables_arr]

    for ntable in tables:
        # 对每个邻接表进行相应的处理
        for aent in self.handle_table(ntable):
            yield aent

贴出3.19内核头文件里的neigh_table结构:

struct neigh_table {
    int         family;
    int         entry_size;
    int         key_len;
    __u32           (*hash)(const void *pkey,
                    const struct net_device *dev,
                    __u32 *hash_rnd);
    int         (*constructor)(struct neighbour *);
    int         (*pconstructor)(struct pneigh_entry *);
    void            (*pdestructor)(struct pneigh_entry *);
    void            (*proxy_redo)(struct sk_buff *skb);
    char            *id;
    struct neigh_parms  parms;
    struct list_head    parms_list;
    int         gc_interval;
    int         gc_thresh1;
    int         gc_thresh2;
    int         gc_thresh3;
    unsigned long       last_flush;
    struct delayed_work gc_work;
    struct timer_list   proxy_timer;
    struct sk_buff_head proxy_queue;
    atomic_t        entries;
    rwlock_t        lock;
    unsigned long       last_rand;
    struct neigh_statistics __percpu *stats;
    struct neigh_hash_table __rcu *nht;
    struct pneigh_entry **phash_buckets;
};

如代码所示,该结构体不含名为next的变量,则calculate函数中第一个分支进入‘否’分支,获得邻接表的起始地址。由于我们的主机可能有多块网卡,故可能有多个邻接表。

随后将内存映像里neigh_table_addr指向的内存区域转变为Pointer的数组,数组长为4.接着对该数组中的元素,即Pointer对象,进行解引用,即获取其指向的内存区域,并组织成neigh_table对象,最后将这些表放入一个列表之中。

接着对列表中的每个邻接表进行处理,返回邻接表上邻居的集合。

handle_table函数

代码及注释如下。

def handle_table(self, ntable):

    ret = []

    # FIXME: Consider using kernel version metadata rather than checking hasattr
    if hasattr(ntable, 'hash_mask'):
        # 3.19没有该结构体
        hash_size = ntable.hash_mask
        hash_table = ntable.hash_buckets
    elif hasattr(ntable.nht, 'hash_mask'):
        # nht == neighbour hash table
        # 3.19也没有这个结构体
        hash_size = ntable.nht.hash_mask
        hash_table = ntable.nht.hash_buckets
    else:
        # 3.19有这个结构体
        hash_size = (1 << ntable.nht.hash_shift)
        hash_table = ntable.nht.hash_buckets

    # param:
    # hash_table 为 hash桶头指针数组的起始地址,即 neighbour **p
    # addr_space 视为 内存镜像,即一整片内存
    # hash_size 为 hash桶的个数
    # 本步骤则是将内存映象里的头指针数组转换为python里Pointer的列表
    buckets = obj.Object(theType = 'Array', offset = hash_table, vm = self.addr_space, targetType = 'Pointer', count = hash_size)

    for i in range(hash_size):
        if buckets[i]:
            # 取出其中的一个头指针,找出内存映像中偏移位置的内容,形成一个neighbour对象
            neighbor = obj.Object("neighbour", offset = buckets[i], vm = self.addr_space)

            # 以neighbor为起点遍历桶,并加入ret中
            ret.append(self.walk_neighbor(neighbor))

    # 整合桶集合成为一体
    return sum(ret, [])

首先是ntable是一个neigh_table的结构体。在linux内核中该结构体在上文中列过,并不存在hash_mask变量,且观察neigh_hash_table结构体中也不存在hash_mask变量,故handle_table函数的第一个分支进入子分支三,hash桶的大小为2的hash_shift次方,而hash桶的头指针数组起始地址为hash_table。其中hash_buckets即hash桶头指针数组的首地址,格式为neighbour **p。结构体neigh_hash_table的结构如下:

struct neigh_hash_table {
    struct neighbour __rcu  **hash_buckets;
    unsigned int        hash_shift;
    __u32           hash_rnd[NEIGH_NUM_HASH_RND];
    struct rcu_head     rcu;
};

随后以hash桶头指针数组的起始地址为出发点,找寻hash_size个指针,并构建为长度为hash_size的Pointer数组。

接着对数组中的元素,即hash桶头指针,取出并找出内存映象中头指针位置上的内容,构造成一个neighbour对象。

再以该对象为起点遍历整个桶,将便利结果放入ret中。最后将结果集合为一个集合返回。

walk_neighbor函数

代码及注释如下。

def walk_neighbor(self, neighbor):
    ret = []

    # 迭代器遍历以neighbor结构为头部的链表
    for n in linux_common.walk_internal_list("neighbour", "next", neighbor):

        # 解析
        family = n.tbl.family

        if family == socket.AF_INET:
            ip = obj.Object("IpAddress", offset = n.primary_key.obj_offset, vm = self.addr_space).v()
        elif family == socket.AF_INET6:
            ip = obj.Object("Ipv6Address", offset = n.primary_key.obj_offset, vm = self.addr_space).v()
        else:
            ip = '?'

        mac = ":".join(["{0:02x}".format(x) for x in n.ha][:n.dev.addr_len])
        devname = n.dev.name

        ret.append(a_ent(ip, mac, devname))

    return ret

首先遍历以neighbor结构为头部的链表。walk_internal_list("neighbour", "next", neighbor)返回一个迭代器,第一次迭代时会返回neighbor自身,即头节点。其代码如下:

# list_start = neighbor
# struct_name = neighbour
# list_member = next
def walk_internal_list(struct_name, list_member, list_start, addr_space = None):
    if not addr_space:
        addr_space = list_start.obj_vm

    while list_start:
        list_struct = obj.Object(struct_name, vm = addr_space, offset = list_start.v())
        yield list_struct
        list_start = getattr(list_struct, list_member)

如代码所示,会先取出start对应的内容先生成一个neighbour对象。

结合以上三个函数,最后就可以输出数据,即a_ent的集合。

接着以输出方式制定的渲染器渲染即可得到我们需要的输出文件了。

0x04 总结

由于这只是对代码进行分析的第一步,选择的代码相对来说比较简单,但是这里面也涉及到了不少知识点。

  • linux内核结构:邻接表
  • hash桶
  • yield标识符
  • vol的内部结构

要对整个内存进行分析,需要的linux内核知识远不止这些,希望自己能够有朝一日读完整个vol。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 158,847评论 4 362
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 67,208评论 1 292
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 108,587评论 0 243
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 43,942评论 0 205
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 52,332评论 3 287
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 40,587评论 1 218
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,853评论 2 312
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 30,568评论 0 198
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 34,273评论 1 242
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 30,542评论 2 246
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 32,033评论 1 260
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 28,373评论 2 253
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 33,031评论 3 236
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 26,073评论 0 8
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,830评论 0 195
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 35,628评论 2 274
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 35,537评论 2 269

推荐阅读更多精彩内容