拦截系统调用的实现以及要注意的问题

最新推荐文章于 2024-08-20 09:18:11 发布
最新推荐文章于 2024-08-20 09:18:11 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: Kernel 文章标签: CR0 syscalls
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wugj03/article/details/42553341
版权
本文介绍了在2.6.32内核中如何拦截系统调用,包括从System.map获取sys_call_table地址和通过改变CR0寄存器的WP位使其可写。在实施过程中遇到SMP环境下的问题,如中断导致的写保护错误,并提出了使用stop_machine解决多CPU环境下的问题。
摘要由CSDN通过智能技术生成

在2.6.32实现拦截系统调用


1.获取sys_call_table的地址

方法1:从/boot/System.map中取到sys_call_table的地址


由上图所看:第一:sys_call_table是只读的,下面是如何使得它变为RW。

                     第二:这种方法获取的sys_call_table只是针对本机的,可移植性差

方法2:参考来源于:http://bbs.chinaunix.net/thread-1946913-1-1.html

通过中断向量表,找到系统调用的中断向量,再通过系统调用时执行的指令,最终找到系统调用表的地址详情请阅读原文


2. 设置sys_call_table可写

在Intel x86 CPU里,CR0寄存器的WP位是控制内存页面只读的,如果将该位清0,则可以对内存页面进行写操作。更深入的理解:

最低0.47元/天 解锁文章
wugj03
关注
专栏目录
Android中利用Xposed框架实现拦截系统方法
09-01
在Android系统中,Xposed框架通过系统进程注入技术,使得开发者能够拦截并修改系统或应用的方法调用,从而实现自定义功能。 ### 前言 1. **Xposed框架介绍**:Xposed框架的核心在于其提供的API,让开发者可以方便...
linux stop_machine 停机机制应用及一次触发 soft lockup 分析
看我眼色行事的博客
01-02 1893
可以看到报告 lockup 的点是 rcu_momentary_dyntick_idle 这个函数里面,触发 lockup 的线程是迁移线程migration/85:537。也就是说在迁移线程中调用 rcu_momentary_dyntick_idle函数触发了 lockup。该函数逻辑为:在 stop machine cpu 停机的状态下执行 msdata 中指定的回调。
Kpatch 使用过程及其原理
上善若水
02-08 2117
1、简介 给 Linux 内核动态打补丁而不必重启系统是最近的一项 热点技术 。 虽然此前已经有了 Ksplice 来达到此类目 的 , 但最近 SUSE 和 Redhat 却先后推出了类似的项目 。 其中,前者为 kGraft, 后者是 kpatch。 kGraft : 为了使 Linux 管理人员更容易的安装重要的 Kernel 安全补丁,同时又不让系统宕机,SUSE Labs 开发了...
Frida Syscall Interceptor 使用教程
最新发布
gitblog_00866的博客
08-20 360
Frida Syscall Interceptor 使用教程 frida-syscall-interceptor项目地址:https://gitcode.com/gh_mirrors/fr/frida-syscall-interceptor 项目介绍 frida-syscall-interceptor 是一个用于在 Android 平台上拦截系统调用syscalls)的开源项目。该项目目前仅支...
Linux时间管理(7)
lee_xin_gml的专栏
08-14 1505
在freerun_clocksource_init函数中向系统注册新的时钟源,但没有切换时钟源。 freerun_clocksource_init        clocksource_mmio_init               clocksource_register_hz                      __clocksource_register_scale
Linux 进程中 Stop, Park, Freeze
yiyeguzhou100的专栏
11-11 6416
http://kernel.meizu.com/linux-process-stop.html 在调试内核的时候,经常会碰到几个相近的概念:进程 stop、进程 park、进程 freeze。这几个名词看起来都是停止进程,那么他们之间的区别和应用场景在分别是什么呢?下面就来分析一番。 本文的代码分析基于 Linux kernel 3.18.22,最好的学习方法还是 “RTFSC
x86_64动态替换内核函数的hotpatch模块卸载问题
Netfilter
11-26 4464
zhejiang wenzhou skinshoe wet, rain flooding water will not fat! 果真,仅仅理解hotpatch的原理,而不实战的话,只能写出玩具。细节的处理非常麻烦。 本文是下面两篇文章的续集: Linux内核如何替换内核函数并调用原始函数:https://blog.csdn.net/dog250/article/details/84201114...
Android编程实现拦截短信并屏蔽系统Notification的方法
09-03
通过创建BroadcastReceiver,监听`SMS_RECEIVED`意图,以及合理地设置优先级和处理逻辑,开发者可以实现拦截短信并屏蔽系统Notification的功能。然而,为了提供良好的用户体验,应确保这种功能的透明度和可控性。
Linux2.6系统调用钩子的原理分析和实现应用.pdf
09-06
本文将深入探讨系统调用钩子的原理,以及如何在Linux 2.6内核中实现这一功能。 系统调用是用户空间程序与内核交互的主要方式。当用户程序调用一个标准C库函数(如`fork()`)时,会触发一个系统调用,如`int 0x80`。...
系统API拦截测试 TestHookInject.rar
09-22
总之,"系统API拦截测试 TestHookInject.rar" 的内容可能涵盖了对FlashWindow API的拦截技术,这对于理解和掌握API安全测试以及系统监控具有重要意义。通过学习这些材料,开发者和安全研究人员可以更有效地检测潜在...
【Kernel】内核热补丁技术揭秘
think_ycx的专栏
09-10 1442
https://ruby-china.org/topics/20680 下述为UCloud资深工程师邱模炯在InfoQ架构师峰会上的演讲——《UCloud云平台的内核实践》中非常受关注的内核热补丁技术的一部分。给大家揭开了UCloud云平台内核技术的神秘面纱。 如何零代价修复海量服务器的Linux内核缺陷? 对于一个拥有成千上万台服务器的公司,Linux内核缺陷导致的死机屡见不鲜。让工程师们纠结的是,到底要不要通过给服务器升级内核来修复缺陷?升级意味者服务器重启、业务中断以及繁重的准备工作;不升级则担
cpu hotplug的流程
知了112的专栏
07-18 9159
以下内容参考: http://loda.hala01.com/2011/08/android-筆記-linux-kernel-smp-symmetric-multi-processors-開機流程解析-part3-linux-多核心啟動流/ 1,cpu hotplug机制 Linux Kernel支援CPU hotplug机制,并可透过全域变数cpu_hotplug_disabled决定处理器
使用 ftrace 调试 Linux 内核
热门推荐
adaptiver的专栏
08-31 2万+
使用 ftrace 调试 Linux 内核,第 1 部分 http://blog.csdn.net/tommy_wxie/article/details/7340701 简介: ftrace 是 Linux 内核中提供的一种调试工具。使用 ftrace 可以对内核中发生的事情进行跟踪,这在调试 bug 或者分析内核时非常有用。本系列文章对 ftrace 进行了介绍,分为三部分。本文是第一部
linux内存管理分析 二,linux内存管理分析【二】
weixin_39639518的博客
05-10 234
为建立内存管理系统,在内核初始化过程中调用了下面几个函数:init/main.casmlinkagevoid__initstart_kernel(void){......初始化持久映射与临时映射的一些信息,后面持久映射和临时映射一节将详细讲解page_address_init();setup_arch是特定于体系架构的函数,负责初始化自举分配器和内核页表等。setup_arch(&c...
linux kernel hook
weixin_33929309的博客
03-14 382
其时是用的linux一个热修补技术。调用内核api 把旧函数前修改成跳转,跳转到新的函数里去执行。这个api就是stop_machine 但是传的不是函数而是一个包好的结构体stop_machine https://www.ibm.com/developerworks/cn/aix/library/au-spunix_ksplice/源码地址:https://github.com/haidrago...
[译] 玩转ptrace (一)
weixin_34360651的博客
12-16 223
[本文翻译自这里:http://www.linuxjournal.com/article/6100?page=0,0,作者:Pradeep Padaia] 你是否曾经想过怎样才能拦截系统调用?你是否曾经想过通过修改一下系统调用的参数来耍一把内核?你是否想过调试器是怎样把一个进程停下来,然后把控制权转移给你的?如果你以为这些都是通过复杂的内核编程来实现的,那你就错了,事实上,Linux 提...
手把手教你拦截Linux系统调用
极客重生
01-13 970
一、什么是系统调用系统调用是内核提供给应用程序使用的功能函数,由于应用程序一般运行在用户态,处于用户态的进程有诸多限制(如不能进行 I/O 操作),所以有些功能必须由内核代劳完成。而内...
Linux内核模块:拦截与自定义系统调用
内核模块的本质是扩展或修改系统的功能,而这其中就包括了对系统调用System Call)的拦截系统调用是用户空间应用程序与内核进行交互的关键接口,它们使得应用程序能够执行各种底层操作,如文件操作、网络通信...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值