C 拦截系统调用
我一直试图在内核级别拦截系统调用。我从中得到了基本的想法。我试图拦截的系统调用是fork()。因此,我从System.map中找到了sys_fork()的地址,结果是0xc1010e0cC 拦截系统调用,c,linux,linux-kernel,kernel-module,kernel,C,Linux,Linux Kernel,Kernel Module,Kernel,我一直试图在内核级别拦截系统调用。我从中得到了基本的想法。我试图拦截的系统调用是fork()。因此,我从System.map中找到了sys_fork()的地址,结果是0xc1010e0c #include<linux/kernel.h> #include<linux/module.h> #include<linux/unistd.h> #include<linux/semaphore.h> #include<asm/cacheflush.h&
#include<linux/kernel.h>
#include<linux/module.h>
#include<linux/unistd.h>
#include<linux/semaphore.h>
#include<asm/cacheflush.h>
MODULE_LICENSE("GPL");
void **sys_call_table;
asmlinkage int (*original_call)(struct pt_regs);
asmlinkage int our_call(struct pt_regs regs)
{
printk("Intercepted sys_fork");
return original_call(regs);
}
static int __init p_entry(void)
{
printk(KERN_ALERT "Module Intercept inserted");
sys_call_table=(void *)0xc1010e0c;
original_call=sys_call_table[__NR_open];
set_memory_rw((long unsigned int)sys_call_table,1);
sys_call_table[__NR_open]=our_call;
return 0;
}
static void __exit p_exit(void)
{
sys_call_table[__NR_open]=original_call;
set_memory_ro((long unsigned int)sys_call_table,1);
printk(KERN_ALERT "Module Intercept removed");
}
module_init(p_entry);
module_exit(p_exit);
#包括
#包括
#包括
#包括
#包括
模块许可证(“GPL”);
作废**系统调用表;
ASMINT(*原始调用)(结构参数寄存器);
ASMINT our_调用(struct pt_regs regs)
{
printk(“截获的系统分叉”);
返回原始通话(regs);
}
静态int\u初始p\u条目(void)
{
printk(插入模块拦截的内核警报);
系统调用表=(void*)0xc1010e0c;
原始调用=系统调用表[\uuuu NR\u open];
set_memory_rw((长无符号整数)sys_call_table,1);
系统调用表[\uuuu NR\u open]=我们的调用;
返回0;
}
静态无效uu退出p_退出(无效)
{
系统调用表[\uuuuu NR\u open]=原始调用;
设置内存表((长无符号整数)系统调用表,1);
printk(内核警报“模块拦截已删除”);
}
模块初始化(p_条目);
模块_出口(p_出口);
original_call=sys_call_table[__NR_open];
....
sys_call_table[__NR_open]=our_call;
forkopensys\u call\u tablesys\u call\u table应该说,内核维护人员官方不鼓励修补系统调用表,他们故意给您设置了一些障碍——您可能已经注意到,您无法访问真正的
sys\u call\u tabletrace\u sched\u process\u fork if (*addr & ~PAGE_MASK) {
*addr &= PAGE_MASK;
/*
* People should not be passing in unaligned addresses:
*/
WARN_ON_ONCE(1);
}