2024年Linux最全Linux 内核模块API之__module_address_linux内核增加api

已于 2024-04-30 16:46:00 修改
阅读量333 收藏 7
点赞数 3
分类专栏: 程序员 文章标签: linux 网络 windows
于 2024-04-30 16:45:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83946224/article/details/138350570
版权

通常在内核rootkit 中,比较常见的hook:hook系统调用,hook /proc 接口,hook 中断向量表等等,如果系统调用表中的地址,proc接口和中断向量表中的某个地址没有在内核地址中,而是在内核模块地址中,那么该地址就很有可能被攻击了,内核rootkit都是通过内核模块的方式来加载。因为,系统调用表中的地址,proc接口和中断向量表中都是在内核地址中。

因此我们可以用该API来进行rootkit检测,来判断一个内核关键点是否被hook。

一、__module_address源码详解

1.1 struct module

struct module是内核模块在内核中最重要的一个结构体,每一个内核模块都有一个该结构体,用来描述该内核模块的基本信息。

struct module
{
	enum module\_state state;

	/\* Member of list of modules \*/
	struct list\_head list;

	/\* Unique handle for this module \*/
	char name[MODULE_NAME_LEN];

	......

		/\* Startup function. \*/
	int (\*init)(void);

	/\* If this is non-NULL, vfree after init() returns \*/
	void \*module_init;

	/\* Here is the actual code + data, vfree'd on unload. \*/
	void \*module_core;

	/\* Here are the sizes of the init and core sections \*/
	unsigned int init_size, core_size;

	/\* The size of the executable code in each section. \*/
	unsigned int init_text_size, core_text_size;

	/\* Size of RO sections of the module (text+rodata) \*/
	unsigned int init_ro_size, core_ro_size;

	......

}

list是一个双向链表元素,有加载到内核中的模块都保存在一个双链表中。

module_init 是模块初始化部分的起始地址。
init_size是模块初始化部分的大小。

module_core是模块核心部分的起始地址。
core_size是模块核心部分的大小。

1.2 __module_address

// linux-3.10/kernel/module.c
// 所有加载到内核中的模块都保存在一个双链表中,modules是该内核模块链表head,一个全局的变量。
/\*
 \* Mutex protects:
 \* 1) List of modules (also safely readable with preempt\_disable),
 \* 2) module\_use links,
 \* 3) module\_addr\_min/module\_addr\_max.
 \* (delete uses stop\_machine/add uses RCU list operations). \*/
DEFINE\_MUTEX(module_mutex);
EXPORT\_SYMBOL\_GPL(module_mutex);
static LIST\_HEAD(modules);

/\* Bounds of module allocation, for speeding \_\_module\_address.
 \* Protected by module\_mutex. \*/
static unsigned long module_addr_min = -1UL, module_addr_max = 0;

/\*
 \* \_\_module\_address - get the module which contains an address.
 \* @addr: the address.
 \*
 \* Must be called with preempt disabled or module mutex held so that
 \* module doesn't get freed during this.
 \*/
struct module \*\_\_module\_address(unsigned long addr)
{
	struct module \*mod;

	if (addr < module_addr_min || addr > module_addr_max)
		return NULL;

	list\_for\_each\_entry\_rcu(mod, &modules, list) {
		if (mod->state == MODULE_STATE_UNFORMED)
			continue;
		if (within\_module\_core(addr, mod)
		    || within\_module\_init(addr, mod))
			return mod;
	}
	return NULL;
}
EXPORT\_SYMBOL\_GPL(__module_address);

其中modules是一个全局变量,所有加载到内核中的模块都保存在一个双链表中,modules是该内核模块链表head。

// linux-3.10/include/linux/module.h

static inline int within\_module\_core(unsigned long addr, const struct module \*mod)
{
	return (unsigned long)mod->module_core <= addr &&
	       addr < (unsigned long)mod->module_core + mod->core_size;
}

static inline int within\_module\_init(unsigned long addr, const struct module \*mod)
{
	return (unsigned long)mod->module_init <= addr &&
	       addr < (unsigned long)mod->module_init + mod->init_size;
}

within_module_core判断地址addr是否在模块的module_core地址区间。
within_module_init判断地址addr是否在模块的module_init 地址区间。

// linux-3.10/include/linux/rculist.h

/\*\*
 \* list\_for\_each\_entry\_rcu - iterate over rcu list of given type
 \* @pos: the type \* to use as a loop cursor.
 \* @head: the head for your list.
 \* @member: the name of the list\_struct within the struct.
 \*
 \* This list-traversal primitive may safely run concurrently with
 \* the \_rcu list-mutation primitives such as list\_add\_rcu()
 \* as long as the traversal is guarded by rcu\_read\_lock().
 \*/
#define list\_for\_each\_entry\_rcu(pos, head, member) \
 for (pos = list\_entry\_rcu((head)->next, typeof(\*pos), member); \
 &pos->member != (head); \
 pos = list\_entry\_rcu(pos->member.next, typeof(\*pos), member))

该函数逻辑非常简单,遍历内核模块链表,如果给定的地址在一个内核模块的module_init和module_core的范围之间,则找到所在地址属于该模块。

为了防止模块被释放,使用该函数时必须禁止内核抢占,或者加锁访问。注意禁止内核抢占或加锁是保护的struct module结构体数据。

1.2 is_module_address

is_module_address是对__module_address函数的一个简单封装,用来判断一个地址是否在模块内。宏preempt_disable( )和preempt_enable( )分别用来实现禁止内核抢占和允许内核抢占。

/\*
 \* is\_module\_address - is this address inside a module?
 \* @addr: the address to check.
 \*
 \* See is\_module\_text\_address() if you simply want to see if the address
 \* is code (not data).
 \*/
bool is\_module\_address(unsigned long addr)
{
	bool ret;

	preempt\_disable();
	ret = \_\_module\_address(addr) != NULL;
	preempt\_enable();

	return ret;
}

二、使用例程

# include <linux/init.h>
# include <linux/kernel.h>
# include <linux/module.h>

int test\_module(void)
{
    return 0;
}

//内核模块初始化函数
static int __init lkm\_init(void)
{
    struct module \*mod;
    unsigned long addr = (unsigned long)test_module;
    preempt\_disable();
    mod = \_\_module\_address(addr);
    preempt\_enable();
    if(mod){
        printk("module name = %s\n", mod->name);
        printk("module core\_size = %d\n", mod->core_size);
        printk("module refcount = %ld\n", module\_refcount(mod));
    }
	return 0;
}

//内核模块退出函数
static void __exit lkm\_exit(void)
{

}

module\_init(lkm_init);
module\_exit(lkm_exit);

MODULE\_LICENSE("GPL");

test_module函数的地址在该函数模块内,通过__module_address找到该模块,结果如下:
在这里插入图片描述

三、其它类似函数

3.1 __module_text_address

/\*


**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

**[需要这份系统化的资料的朋友,可以点击这里获取!](https://bbs.csdn.net/topics/618542503)**

**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
2401_83946224
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux Kernel 之一 内核架构、源码文件、API/ABI 介绍、FHS
技术干货
12-07 2997
内核架构主要有 宏内核(Monolithic Kernel)、微内核(Micro kernel)和混合内核(Hybrid kernel) 三种。Linux 系统的 Kernel 属于宏内核,而 Windows 系统的内核 Windows NT 和 macOS 的内核 XNU 都属于混合内核
Linux内存管理(11):常用的一些API总结
zhang_shuaifeng的博客
05-05 270
kvmalloc和kvfree,ioremap和iounmap ......
api/address-common.js
weixin_38107457的博客
05-19 308
项目小程序代码 api/address-common.js // An highlighted block const https = require("../utils/https.js") const { address } = require("../interface/cx-wechat-order.js") /** * @Description 冷运服务范围 * @Author 01139980 * @Param { "provinceCode": "A440000000", "cityC
linux驱动学习(四)之module
最新发布
ckg3824278的博客
06-03 840
linux驱动学习(四)之module
linux内核崩溃+grub,Linux内核崩溃信息分析
weixin_36399446的博客
04-29 350
8种机械键盘轴体对比本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选?kernel panic 之后输出 backtrace 信息有助于调试问题,本文分析 backtrace内核版本 v2.6,需要支持backtrace,并且需要打开配置kallsyms##使用的内核Linux2.6,对当前的arch不支持backtrace,当内核崩溃时输出信息为:Backtrace not suppo...
[Kernel编译错误] ERROR: modpost: “Func” [xxxxx.ko]undefined!
Anzhipeng6的博客
07-18 5849
Kernel编译错误
深度解析 | RK3588 平台开发:Linux 内核 API 接口探秘
一直在水些技术小文
12-27 495
在我们深入讨论Linux内核API接口之前,让我们简要了解一下RK3588平台。RK3588是瑞芯微推出的一款高性能处理器,广泛应用于各种智能设备。其卓越的计算能力和强大的多媒体处理性能,使得RK3588成为众多项目的首选芯片。通过本文的深入解析,相信大家对RK3588平台上Linux内核API接口有了更为清晰的认识。合理理解和使用这些API接口,是进行嵌入式系统开发的关键一步。未来,我将继续分享更多关于RK3588平台开发的技术文章,敬请期待。我们下次再见!
nf_nat_proto_gre.rar_linux nat gre
09-24
标题 "nf_nat_proto_gre.rar_linux nat gre" 指涉的是Linux内核网络API中的一个特定组件,即NAT(网络地址转换)协议助手模块,用于处理GRE(通用路由封装)协议。这个模块是Linux网络堆栈的一个重要部分,它在...
MLX90614红外温度传感器_linux驱动源码.zip
12-22
#include <linux/module.h> #include <linux/miscdevice.h> #include <linux/moduleparam.h> #include <linux/delay.h> #include <linux/fs.h> #include <linux/timer.h> #include <linux/ioctl.h> #include <linux/...
b43_pci_bridge.rar_V2
09-24
描述中提到的"Broadcom 43xx PCI-SSB bridge module"是Linux内核驱动的一部分,用于支持Broadcom 43xx家族的无线网卡。这些网卡广泛应用于笔记本电脑、台式机和一些嵌入式设备中,提供Wi-Fi和有时也包括蓝牙功能。该...
深入理解LINUX内核(影印版)(第3版)
09-21
Preface The Audience for This Book Organization of the Material Level of Description Overview of the Book ...Research Papers Related to Linux Development About the Authors Colophon Index
Linux4.4内核API文档
01-22
根据Kernel.org上面下载的内核源码制作出来的内核API文档,基于Linux4.4版本制作。
linux启动参数
03-19
4. **内核模块自动加载**:`modprobe.blacklist=<module>`可禁止特定模块加载,避免与系统产生冲突。 5. **root文件系统挂载**:`root=/dev/sdXn`指定根目录文件系统的设备,其中`sdXn`代表设备名和分区号。 6. **...
RT-thread内核API函数汇总
李知恩的一只有理想的Uaena
08-09 753
RT-thread常用API函数汇总
内核API参考
阿群的笔记(同步备份自简书)
02-17 612
https://item.m.jd.com/product/12047310.html 基于zui新的Linux内核源代码3.19.3版本,对常用的内核API作了系统归纳,并编写了典型验证程序,使理论分析与实际编程做到了统一。分析的内核API模块包括:模块机制内核API、进程管理内核API、进程调度内核API、中断与异常机制内核API、时间与定时机制内核A...
linux 的任务堆栈,以及用户态和内核态的切换
yyt7529的专栏
07-01 3593
任务的堆栈每个任务都有两个堆栈,分别用于用户态和内核态程序的执行,并且分别称为用户态堆栈和内核态堆栈。除了处于不同CPU特权级中,这两个堆栈之间的主要区别在于任务的内核态堆栈很小,所保存的数据量最多不能超过4096 - 任务数据结构块个字节,大约为3KB。而任务的用户态堆栈却可以在用户的64MB空间内延伸。(1)在用户态运行时每个任务(除了任务0和任务1)有自己的64MB地址空间。当一
函数__module_address()
嵌入式技术开发
03-27 273
文件包含 需要添加的头文件:#include <linux/module.h> 函数定义 函数在内核源码中的位置:linux-2.6.30/kernel/module.c 函数功能描述 函数__module_address()主要用于根据给定一个内存地址addr,获得该内存地址所在的模块。addr:其值表示内存地址; 返回值 如果内存地址addr在某一模块的地址空间中,则返回指向该模块的结构体指针,否则返回NULL。其中关于结构体struct module的定义关于find_module()函数
Linux内核API手册——简略版
CrazyHeroZK的专栏
02-15 8996
Kernel API 寻址 页表与页 TLB NODE、CPU与寄存器 寄存器操作 CPU特性 PerCPU变量操作 CPU位掩码 NODE操作 内核同步 内核抢占 原子操作 位锁 内存屏障 自旋锁 位图操作 顺序锁 信号量 PerCPU 读写信号量 完成变量 中断操作 工作队列 等待队列 内存管理 物理页管理 非整页内存管理 非连续内存管理 时间管理 节拍软定时器...
linux内核模块头文件之---kernel.h
热门推荐
kokodudu的专栏
12-23 1万+
kernel.h中包含了内核打印函数 printk函数 等
基于linux4.9写一个内核IIC驱动AHT20的代码
05-31
以下是一个基于Linux 4.9内核的AHT20 IIC驱动的代码: ``` #include <linux/i2c.h> #include <linux/init.h> #include <linux/module.h> #include <linux/delay.h> #include <linux/kernel.h> // AHT20 I2C Address #define AHT20_I2C_ADDR 0x38 // AHT20 Commands #define AHT20_CMD_INIT 0b1110001 #define AHT20_CMD_MEASURE 0b10101100 #define AHT20_CMD_SOFT_RESET 0b10111010 static int aht20_probe(struct i2c_client *client, const struct i2c_device_id *id) { int ret; u8 buf[3]; // Initialize AHT20 buf[0] = AHT20_CMD_INIT; ret = i2c_master_send(client, buf, 1); if (ret < 0) { dev_err(&client->dev, "Failed to send AHT20 initialization command\n"); return ret; } msleep(20); // Soft reset AHT20 buf[0] = AHT20_CMD_SOFT_RESET; ret = i2c_master_send(client, buf, 1); if (ret < 0) { dev_err(&client->dev, "Failed to send AHT20 soft reset command\n"); return ret; } msleep(20); return 0; } static int aht20_read_measurement(struct i2c_client *client, u16 *humidity, u16 *temperature) { int ret; u8 buf[6]; // Send measure command to AHT20 buf[0] = AHT20_CMD_MEASURE; ret = i2c_master_send(client, buf, 1); if (ret < 0) { dev_err(&client->dev, "Failed to send AHT20 measure command\n"); return ret; } msleep(80); // Read measurement data from AHT20 ret = i2c_master_recv(client, buf, sizeof(buf)); if (ret < 0) { dev_err(&client->dev, "Failed to read AHT20 measurement data\n"); return ret; } // Convert measurement data to humidity and temperature values *humidity = (buf[1] << 12) | (buf[2] << 4) | (buf[3] >> 4); *temperature = ((buf[3] & 0x0F) << 16) | (buf[4] << 8) | buf[5]; return 0; } static const struct i2c_device_id aht20_id[] = { { "aht20", 0 }, { } }; MODULE_DEVICE_TABLE(i2c, aht20_id); static struct i2c_driver aht20_driver = { .driver = { .name = "aht20", }, .probe = aht20_probe, .id_table = aht20_id, }; module_i2c_driver(aht20_driver); MODULE_AUTHOR("Your Name"); MODULE_DESCRIPTION("AHT20 IIC Driver"); MODULE_LICENSE("GPL"); ``` 请注意,这只是一个示例代码,并且可能需要根据您的具体需求进行修改和调整。在实际使用中,请务必小心谨慎,以确保您的设备和数据的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值