获取sys_call_table地址

最新推荐文章于 2024-04-17 18:23:22 发布
最新推荐文章于 2024-04-17 18:23:22 发布
阅读量750 收藏 5
点赞数
分类专栏: Linux系统调用 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ShirokoYae/article/details/119414124
版权

关于劫持系统调用时的sys_call_table地址,在上篇文章中提到了手动获取系统调用表地址的方法,本文采用 kallsyms_lookup_name() 来获得sys_call_table的符号地址。

文章指路:https://blog.csdn.net/ShirokoYae/article/details/119036040

主要参考文章:https://blog.csdn.net/zzzpany/article/details/94308431

次要参考文章:https://blog.csdn.net/bin_linux96/article/details/104031561

问题说明:

        (1)insmod 时出现 killed 问题,大概率是系统调用表地址错误造成的。

        (2)在主要参考文章中,将sys_call_table定义成了全局变量,在函数中赋值获取地址,这样做可能会获取到错误的地址。于是定义了局部变量,在初始化和退出的时候各获取一次即可。

 

头文件可能有多余,只作为参考。自动获取地址只需要编译一次即可,每次开机只需要将 .ko 文件动态载入内核模块,即可自动获取其地址。使用方法同上篇文章,只是修改了源程序。

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/init.h>
#include <linux/syscalls.h>
#include <linux/fs.h>
#include <linux/fs_struct.h>
#include <linux/dcache.h>
#include <linux/path.h>
#include <linux/slab.h>

MODULE_LICENSE("GPL");

int (*orig_mkdir)(void);
unsigned int clear_and_return_cr0(void);
void setback_cr0(unsigned int val);
unsigned int orig_cr0;

int my_mkdir(void)
{
	int pid = current->pid;
	int ppid = current->real_parent->real_parent->pid;
	const char *ppwd = (current->fs->root).dentry->d_name.name;
	struct path pwd;
	get_fs_pwd(current->fs,&pwd);
	printk(KERN_WARNING "Warnning Someone(PID=%d,parent=%d) attempts to mkdir!\n",pid,ppid);
	printk(KERN_WARNING "ROOT:%s!\n",ppwd);
	printk(KERN_WARNING "PWD:%s!\n",pwd.dentry->d_name.name);
	return 0;
}

unsigned int clear_and_return_cr0(void)
{
	unsigned int cr0 = 0;
	unsigned int ret;
	asm volatile ("movq %%cr0, %%rax":"=a"(cr0));
	ret = cr0;
	cr0 &= 0xfffeffff;
	asm volatile ("movq %%rax, %%cr0"::"a"(cr0));
	return ret;
}

void setback_cr0(unsigned int val)
{
	asm volatile ("movq %%rax, %%cr0"::"a"(val));
}

int hello_init(void)
{
	unsigned long* sys_call_table = (unsigned long*)kallsyms_lookup_name("sys_call_table");
	printk(KERN_INFO "Hello kernel!\n");   
	orig_cr0 = clear_and_return_cr0();
	orig_mkdir=(int (*)(void))sys_call_table[__NR_mkdir];
	sys_call_table[__NR_mkdir] = (unsigned long)my_mkdir;
	setback_cr0(orig_cr0);
	return 0;
}

void hello_exit(void)
{
	unsigned long* sys_call_table = (unsigned long*)kallsyms_lookup_name("sys_call_table");
	printk("Bye, kernel!");
	orig_cr0 = clear_and_return_cr0();
	sys_call_table[__NR_mkdir] = (unsigned long)orig_mkdir;
	setback_cr0(orig_cr0);
}

module_init(hello_init);
module_exit(hello_exit);

沐沐兮以成梦
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux驱动insmod时出现killed
big_kevin的博客
06-02 3375
信号量和等待队列需要在module_init指定的函数中初始化,在初始化之前,一定要为包含信号量和等待队列的结构体分配内存空间kmalloc,否则就会出现insmod后KILLED。 DEMO_devices = kmalloc(sizeof(struct DEMO_dev), GFP_KERNEL); init_waitqueue_head(&DEMO_devices->wq);
Linux x86平台获取sys_call_table
小立仔
02-29 914
Linux 3.10.0 -- x86_64 获取sys_call_table的几种方式
Linux x86平台获取sys_call_table,上岸蚂蚁金服
最新发布
m0_60567881的博客
04-17 646
rax:系统调用号 参数传递:rdi,rsi,rdx,r10、r8、r9 (rcx -> r10)SYSCALL 指令:RIP = IA32_LSTAR MSR 寄存器 = system_call。rax:返回值 参数传递:rdi,rsi,rdx,rcx,r8,r9。
Linux关于sys_call_table的使用
赵四司机的博客
11-06 835
系统调用服务程序的地址存放在sys_call_table中,通过系统调用号定位到具体的系统调用地址,然后我们就可以通过编写内核模块来修改sys_call_table中的系统调用的地址来为我们自己定义的函数的地址,可以实现系统调用的拦截。但是我的版本不支持sys_call_table的导出,所以需要获得sys_call_table地址,通过sudo cat /proc/kallsyms | grep sys_call_table 可以看出sys_call_table数组的首地址为0xffffffffb5
Linux Rootkit 系列二:基于修改 sys_call_table 的系统调用挂钩
whatday的专栏
07-23 1616
与第一篇文章作者所想象的不同,本文不打算给大家介绍三种不同的系统调用挂钩技术,相反,本文仅详细讲解最简单的系统调用挂钩方案,并且基于这个方案实现最基本的文件监视工具。这样,既可以让读者轻松上手进行实际应用, 又可以加深、巩固读者对LKM的理解,同时还免去了一次学习多种挂钩方案的理论知识压力。 所以,本文力求以实验为核心,每一个步骤都可能有对应的实验代码。代码仓库:https://github...
操作系统笔记(三)——系统调用的实现(System Call)
肌肉猛男
02-06 2271
系统调用的实现前言系统调用的直观实现内核(用户)态,内核(用户)段处理器保护环将其分为了四部分对于内核段代码的处理用段寄存器来进行解决硬件提供了“主动进入内核的方法”系统调用的核心 int 0x80 前言 前面的文章说了什么是系统调用,就是系统提供给上层用户的一些函数,如open,read,write…,表面上是一些函数,背后是如何实现的呢? 这一篇文章就会记录系统调用是如何实现的。 系统调用的直观实现 反正所想要打印的代码与系统代码都在内存里,直接跳转,直接调用不可以吗? 答:肯定是不能的。 不能随意的
interceptor:linux 3.6 sys_call_table拦截模块(至少在intel处理器上有效)
05-13
1. 获取`sys_call_table`地址:由于`sys_call_table`的地址在内核空间,因此需要使用内核模块或者利用内核漏洞来获取。在某些版本的Linux中,`sys_call_table`可能被隐藏或保护,需要使用特定的技术来暴露其地址。 ...
adding_a_system_call_in_linux.rar_in_linux system call_system ca
09-23
这个函数通常放在`fs/syscalls.c`或`kernel/sys.c`等适当的地方,并且需要添加到`sys_call_table`数组中,这是系统调用表,根据系统调用号映射到对应的处理函数。 2. **更新系统调用号**:在`include/asm-x86/...
system_call
03-26
2. **系统调用接口**:不同的操作系统有不同的系统调用接口,比如在Linux中,系统调用通常通过`sys_call_table`表来查找对应的处理函数。而在Windows中,系统调用使用`Nt*Xxx`形式的函数。 3. **直接调用系统调用**...
osf_sys.rar_PURE
09-24
这部分代码可能定义了系统调用的入口点,例如`sys_call_table`,用于根据系统调用号查找并执行相应的处理函数。 2. **文件系统操作**:OSF可能有自己的一套文件系统规范,这部分代码可能实现了与OSF兼容的文件操作...
xitongdiaoyong.rar_ xitongdiaoyong_系统调用
09-20
3. **注册系统调用**:在`kernel/sys.c`文件中,使用`sys_call_table`数组注册新的系统调用处理函数。这将把系统调用号与相应的处理函数关联起来。 4. **编译和加载内核模块**:编译内核,然后替换当前运行的内核...
linux 命令 sys_call_table地址,Linux2.6内核模块获取sys call table地址
weixin_42524165的博客
05-03 333
在上面的代码中,最复杂的应该就是从0x80中断的服务例程中搜索sys_call_table的一段了,现解释如下。首先,我们使用命令“gdb -q /usr/src/kernels/2.6.19/vmlinux”来反编译内核,再使用“disass system_call”和“disass syscall_call”两条gdb命令来查看内核的汇编代码,其结果如下:(gdb) disass system...
linux查看 idt日志,Linux漏洞挖掘:08---系统调用劫持之(经过IDT中断向量表获取sys_call_table系统调用表)...
weixin_28940217的博客
05-11 199
1、IDT中断向量表简介IDT是中断向量表,其被分为许多个段,一个段被分为中断号和中断处理函数 2、经过IDT中断向量表获取sys_call_table系统调用表IDT这个表的地址是在特殊寄存器中存储的,而这个特殊寄存器的地址是咱们能够经过编程设计获取的在系统调用详细文章中(见文章:https://blog.csdn.net/qq_41453285/article/details/10281010...
linux反汇编如何得到各个函数的地址,多种方法获取sys_call_table(linux系统调用表)的地址...
weixin_42504279的博客
05-08 935
syscall_call:call *sys_call_table(,%eax,4)假设我们没有vmlinux可供gdb反汇编,那也只有采用模拟的方式了,模拟出一个call *sys_call_table(,%eax,4),然后看其机器码,然后在system_call的附近基于这个特征进行寻找 :void fun1() { printf("fun1/n"); } void fun2() { pri...
菜鸡随笔第二笔:insmod模块时显示已杀死
dn_13143344的博客
07-29 1880
又是充满希望的一天!秃头秃头! 随着对驱动代码的不断深入,为了代码的美观性和易读性,我们最好将需要的变量定义到一个结构体里面。如图: 我们用一个结构体保存major这个主设备号的变量,然后通过结构体指针来调用他,看起来好像没什么问题,编译也是ok的 但是其实问题很大,当我们想要将该模块编译进内核时: 系统会显示已杀死,并且当我们用lsmod查看的时候发现该模块居然编译了上去。另外,这种模块我们是无法rmmod的,因为图上已经显示该模块已被使用,但是却没有使用的对象。 出现这个问题的原因很简单,就是结构体指针
syscall表的数组赋值语法
qq_20786537的博客
10-28 109
syscall表时发现一种C中不常用的数组赋值语法: const int syscall_table[MAX_NUM]={ [0 … MAX_NUM-1]=3, [0]=1, [1]=2, }; 内核中的数组单元是函数指针(void*)简化了一下好理解,道理是一样的。 这里的大括号里首句 [0 … MAX_NUM-1]=3, 代表着将第0个到第n-1个元素都赋默认值为3 后面的赋值语句就针对某个值进行调整, [0]=1, 就代表着将第0个元素改为1 ...
系统调用和快速系统调用
彦东 – yandong.org
06-04 1069
欢迎访问小站,阅读原文http://www.yandong.org/archives/519 介绍  系统调用,顾名思义,说的是操作系统提供给用户程序调用的一组“特殊”接口。用户程序可以通过这组“特殊”接口来获得操作系统内核提供的服务,比如用户可以通过文件系统相关的调用请求系统打开文件、关闭文件或读写文件,可以通过时钟相关的系统调用获得系统时间或设置定时器等。 从逻辑上来说,系统调用可被
linux 内核 构造数据包,insmod 后直接提示“已杀死”,内核构造数据包
weixin_34832594的博客
05-03 738
编译了一个模块,在内核空间启动一个实时任务。insmod 后直接提示“已杀死”。lsmod 后发现这个模块正在被使用(used 一栏显示 1),但是后面没有显示是被哪个模块使用...(by一栏是空的),所以也没办法卸载,rmmod -f 也不好用...dmesg发现打印的出错信息是指针问题,只能逐行的添加printk调试,最后发现在构造包头的时候,将skb_put和skb_push的用法弄错了。用...
实验4 linux kernel hook实验指南1
08-08
3. 获取sys_call_table地址的方法: - **直接从System.map文件**:这是常见的方法,System.map文件记录了内核映射信息,包括sys_call_table的位置,可以通过阅读相关文章如"Hooking the Linux System Call Table...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值