拦截系统调用
Pau*_*esC 10 c linux kernel kernel-module linux-kernel
我一直试图在内核级拦截系统调用.我从这个问题中得到了基本的想法.我试图拦截的系统调用是fork().所以我从System.map中找到了sys_fork()的地址,结果证明是0xc1010e0c.现在我编写了如下模块.
#include<linux/kernel.h>
#include<linux/module.h>
#include<linux/unistd.h>
#include<linux/semaphore.h>
#include<asm/cacheflush.h>
MODULE_LICENSE("GPL");
void **sys_call_table;
asmlinkage int (*original_call)(struct pt_regs);
asmlinkage int our_call(struct pt_regs regs)
{
printk("Intercepted sys_fork");
return original_call(regs);
}
static int __init p_entry(void)
{
printk(KERN_ALERT "Module Intercept inserted");
sys_call_table=(void *)0xc1010e0c;
original_call=sys_call_table[__NR_open];
set_memory_rw((long unsigned int)sys_call_table,1);
sys_call_table[__NR_open]=our_call;
return 0;
}
static void __exit p_exit(void)
{
sys_call_table[__NR_open]=original_call;
set_memory_ro((long unsigned int)sys_call_table,1);
printk(KERN_ALERT "Module Intercept removed");
}
module_init(p_entry);
module_exit(p_exit);
但是,在编译模块后,当我尝试将其插入内核时,我从dmesg输出中得到以下内容.
当然它不会拦截系统调用.你能帮我解决问题吗?我使用的是3.2.0-4-686版本的Linux内核.
http://lxr.linux.no/linux+*/arch/x86/mm/pageattr.c#L874 说
if (*addr & ~PAGE_MASK) {
*addr &= PAGE_MASK;
/*
* People should not be passing in unaligned addresses:
*/
WARN_ON_ONCE(1);
}
因此警告是因为您的sys_call_table变量不是页面对齐的.
应该说内核维护人员正式不鼓励打补丁系统调用表,并且他们在你的方式中设置了一些故意的障碍 - 你可能已经注意到你无法访问真实的sys_call_table符号,并且写了保护也是刻意的.如果你可以找到另一种方法来做你想做的事,那么你应该.根据您的更大目标,您可以使用ptrace并且根本不使用内核模块来完成它.所述trace_sched_process_fork钩也可以是有用的.
original_call=sys_call_table[__NR_open];
....
sys_call_table[__NR_open]=our_call;
如果您正在拦截fork,则 的条目open不是您想要更改的内容。您应该使用 的地址,而不是 System.map 中 sys_fork() 的地址sys_call_table。
| 归档时间: |
|
| 查看次数: |
2839 次 |
| 最近记录: |