总结

• 可以加载和运行(并不能完整运行)，并且能指定运行的 start, end 地址
• 可以 gdb debug
• 需要实现 kernel api 比如 vmalloc 等，qiling 基本没有提供
• x64 的 ko 不存在特权指令的问题

qiling 能否运行 ko？

Demigod: The Art of Emulating Kernel Rootkits

How ？

使用 qiling 自带的测试代码:

cd ./qiling/examples/rootfs/x86_linux/kernel
unzip -P infected m0hamed_rootkit.ko.zip

cd ./qiling/tests
python3 test_elf_ko.py

最简单的代码版本:

from qiling import Qiling
from qiling.const import QL_VERBOSE

def test_ko():
    ql = Qiling(["../examples/rootfs/x8664_linux/kernel/hello.ko"],
            "../examples/rootfs/x8664_linux", verbose=QL_VERBOSE.OFF)

    ba = ql.loader.load_address

    ql.run(ba + 0x1064, ba + 0x107e)

if __name__ == "__main__":
    test_ko()

为什么需要调整 load_address ? 怎么来的？

ql.run 的 api

ql.run(begin, end, timeout, count)