概述
可加载模块(LKM)是为了扩展操作系统基本内核功能的object代码文件,通常使用LKM为新的硬件或文件系统添加支持,或添加系统调用,当LKM所提供的功能不需要时,也可以卸载LKM以达到释放内存和资源。
优点
如果没有可加载内核模块,操作系统必须将可能的功能全部编译到基础内核中,大部分功能驻留在内存中但不会被使用,造成内存浪费。如果再有新的功能加入,用户就需要重建并重启基础内核。
在Linux上的实现
通过modprobe
命令,Linux可以挂载或卸载可加载内核模块。从内核2.6版本开始,这些可加载模块就以.ko的形式放置在/lilb/modules文件夹中。lsmod
命令列出所有可加载的内核模块,在紧急情况下,当启动因为损坏的模块而不能启动时,可以通过修改内核启动参数来允许/禁止某些特定模块的加载(修改GRUB内核配置菜单)
二进制兼容性
Linux没有为内核模块提供稳定的API或ABI,这意味着不同的内核版本中的模块内部结构和功能是有区别的,这会造成兼容性问题,为了解决这个问题,需要将符号版本控制数据放置在可加载ELF模块的.modinfo部分中。在加载一个模块前,会将版本信息与正在运行的内核进行比较,如果版本信息不兼容,这个模块就不会被加载。
安全性
虽然可加载模块对运行的内核来说是一个方便的方法,攻击者也可能在一个受感染的系统上阻止检查他的进程或文件,从而保持对系统的控制权。许多rookit都使用这种方式控制系统。需要注意的是,无论在任何系统上,模块都不会帮助提升特权,只是可以让攻击者的入侵隐藏的更好。
1.对于Linux
Linux可以通过sysctl选项/proc/sys/kernel/modules_disabled禁用模块加载,initramfs系统会首先加载启动机器所需要的特定模块,然后禁用模块加载功能。