【linux内核-获取hook系统调用表】

VIP文章 已于 2022-07-19 19:03:40 修改
阅读量487 收藏
点赞数
分类专栏: linux内核 文章标签: linux 运维 服务器
于 2022-07-19 18:54:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cddchina/article/details/125855039
版权

本文的目标是学习如何使用获取系统调用表,通过替换系统调用,可以做很多事情;想要替换系统函数首要的问题就是获取系统调用表 system call table。

演示环境:

uname -ra
Linux localhost.localdomain 3.10.0-693.el7.x86_64 #1 SMP Tue Aug 22 21:09:27 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

cat /etc/redhat-release 
CentOS Linux release 7.4.1708 (Core)

系统调用表,根据名字就可以猜到是一个表(实现是数组)里面放了很多的系统调用函数。
获取之后,就可以通过数组下标来寻找对用的系统函数。
下标可以通过查看内核源码得知:arch/x86/include/generated/uapi/asm/unistd_32.h
在这里插入图片描述

第一种:通过内核导出函数kallsyms_lookup_name获取:

  • 条件:需要内核开启CONFIG_KALLSYMS配置
cat /boot/config-3.10.0-693.el7.x86_64 | grep CONFIG_KALLSYMS
CONFIG_KALLSYMS=y
CONFIG_KALLSYMS_ALL=y

核心代码:

 //kallsyms_lookup_name need be export, need CONFIG_KALLSYMS when compile kernel
  void* sys_table_addr = (void*) kallsyms_lookup_name("sys_call_table");

完整代码:

#include <linux/init.h> // 模块初始化和退出
#include <linux/module.h>
#include <linux/kallsyms.h>
 // 内核的一些基本信息,主要是modinfo显示
MODULE_AUTHOR("andy");
MODULE_DESCRIPTION("test");
MODULE_LICENSE("GPL");
MODULE_VERSION("v1.1.0");
 
void getsystab()
{
   
        void *sys_table_addr = (void *) kallsyms_lookup_name("sys_call_table");
        if (sys_table_addr) 
        {
   
                printk("addr:%p \n", sys_table_addr);
        }
}
 
static int patch_init(void)
{
   
        printk("[testkern]init\n");
        getsystab();
        return 0;
}
 
static void patch_exit(void){
   
        printk("[testkern]exit\n");
        return ;
}
 
// 入口 
module_init(patch_init);
// 退出
module_exit(patch_exit);

dmesg查看执行结果:
[535528.128860] [testkern]init
[535528.131788] addr:ffffffff816beee0

第二种:通过读取system.map文件获取

本质是通过下面的命令获取
cat /boot/System.map-3.10.0-693.el7.x86_64 | grep sys_call_table
完整代码:

#include <linux/init.h> // 模块初始化和退出
#include <linux/module.h>
#include <linux/kallsyms.h>
#include <linux/fs.h>
#include <asm/uaccess.h>
#include<linux/slab.h> //kfree

#define PROC_V    "/proc/version"
#define BOOT_PATH "/boot/System.map-"
#define MAX_VERSION_LEN   256

 // 内核的一些基本信息,主要是modinfo显示
MODULE_AUTHOR("andy");
MODULE_DESCRIPTION("test");
MODULE_LICENSE("GPL");
MODULE_VERSION("v1.1.0");
 
// 主要是通过读取文件 获取内核的版本信息
char *acquire_kernel_version (char *buf) {
   
    struct file *proc_version;
    char *kernel_version;
  
    mm_segment_t oldfs;
    oldfs = get_fs();
    set_fs (KERNEL_DS);
 	
    // 打开版本信息 
    proc_version = filp_open(PROC_V, O_RDONLY, 0);
    if (IS_ERR(proc_version)
最低0.47元/天 解锁文章
cddchina
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux系统调用实现的介绍
Radia的专栏
12-08 1781
操作系统负责资源管理,当应用层需要使用资源时就需要向内核发起系统调用。如读取问题时发起syscall_read系统调用,建立socket时发起syscall_socket等等 内核完成引导后,就处于等待处理各种中断的状态下,以实现对硬件资源的管理,对上层请求的相应。 能够触发内核相应的有三类 1,系统调用,是基于软件中断实现的,应用层向内核层发起请求的方式 2,异常,如缺页异常,使虚拟地址
linux内核hook系统调用execve函数
12-07
内核版本:4.19.0-amd64-desktop 功能:hook系统调用execve函数,在系统调用dpkg命令时返回。 这样系统无法安装软件,以及删除软件。 1.下载后 解压直接 make编译 2. sudo insmod hook.ko 进行安装 3. sudo dmesg --follow 查看内核调试信息 4.调用 dpkg命令,发现已经用不了了。 这个方法还可以适用于其他用途。
linux系统调用x64.xlsx
05-10
linux x86-64的系统调用调用后返回的地址存放在rax寄存器中。用这张来查询对应的调用号以及各寄存器需要配置的数值,并用syscall执行调用
Linux内核系统调用汇总
IronmanJay的博客
08-20 320
系统调用是本人在学习Linux内核时在Linux内核源码中查找到的,个人觉得在学习关于Linux内核系统调用时用处很大,故向各位读者分享出来。需要强调的是,此系统调用所对应的**Linux内核版本为5.19.0-50-generic**,此版本的Linux内核中共包含360个系统调用。此外,其它版本的Linux内核可能有些许区别(有的系统调用可能已经被废弃,或者某些系统调用号可能发生变化),还请各位读者自行分辨。
Linux系统获取系统调用(system call table)地址的几种方法
weixin_42915431的博客
06-02 6747
上回讲到如何编写简单的内核模块,那么内核模块可以用来做什么呢?一个例子就是可以hook系统调用,替换为自己的接口函数;还有就是设备驱动的开发。 本文将就hook系统底层调用技术展开讨论。下图是应用层的一个系统调用linux系统中的调用流程: 在应用层调用getpid系统调用,为glibc中封装,此调用会引发int 80中断,调用切换到内核空间,然后根据system_call数组及其_NR_getpid下标找到系统调用sys_getpid接口的地址,之后将会返回系统调用结果到应用层。 ..
linux 系统调用hook
jack的博客
06-22 278
都引流到某乎上了,不准备在这继续发展了。
Rootkit---获取sys_call_table
q759451733的博客
04-11 517
内核版本不一致导致获取sys_call_table的方式都不一样,本章总结了三种方式获取sys_call_table。
Windows和Linux动态注入
梦的灰色边沿...
06-23 1314
  摘要:最近对动态注入有一些兴趣因此搜索了些资料,简单整理了下相关的技术实现。本文只能够带你理解何如注入以及大概如何实现,对注入的方法描述的并不详细。   关键字:dll注入,hook,提权   读者须知:读者需要对Windows和Linux dll加载的基本流程比较熟悉。   注入就是将自己的代码注入到目标进程中强制目标进程执行,而动态注入就是将动态库强制加载进目标进程的进程空间从而对目标进程进行修改。动态注入有利有弊,可以用于反病毒、反外挂也可以用于投毒或者制作外挂。 1 DLL注入   DLL是wi
linux系统调用挂钩方法总结
热门推荐
sdulibh的专栏
12-22 1万+
相关学习资料 http://xiaonieblog.com/?post=121 http://hbprotoss.github.io/posts/li-yong-ld_preloadjin-xing-hook.html http://www.catonmat.net/blog/simple-ld-preload-tutorial/ http://os.51cto.com/art/2010
kernel-module-syscall:拦截系统调用
02-21
系统调用拦截 在Linux上使用可加载的内核模块拦截系统调用的概念证明。 测试于:Linux debian 4.19.0-14-amd64#1 SMP Debian 4.19.171-2(2021-01-30)x86_64 GNU / Linux
netfilter hook 注册,调用示例
08-17
Linux4.x内核编程实战——netfilter hook 注册,调用示例.nf_hook_ops,nf_register_net_hook, nf_unregister_net_hook 使用
uhook:uhook Linux 内核驱动
06-08
钩子uhook Linux kernel driver : 从用户空间调用内核函数1)。 什么是 uhook uhook(userspace kernel hook) 示从用户空间调用内核函数。 也就是说,我们可以在内核空间写一个函数,在内核Image运行时在用户空间...
[ Linux Debian ] libmali安装包
02-04
libmali库是Chrome浏览器打开调用驱动底层的接口,与内核和Debian文件系统版本有关,该资料提供多个版本的安装包。
linux系统调用
gaoxiang的专栏
08-19 614
/*  *  linux/arch/arm/kernel/calls.S  *  *  Copyright (C) 1995-2005 Russell King  *  * This program is free software; you can redistribute it and/or modify  * it under the te
linux 系统调用 sys_call_table 获取方法
whatday的专栏
09-03 4816
一.方法一:常用方式,也是一google一堆的方式 我们首先需要找到call table-with-offset的特征,先看下面的代码 syscall_call: call *sys_call_table(,%eax,4) 假设我们没有vmlinux可供gdb反汇编,那也只有采用模拟的方式了,模拟出一个call *sys_call_table(,%eax,4),然后看其机器...
全架构Linux内核系统调用
小小的进步
08-07 291
Linux kernel system calls for all architectures》由Marcin Juszkiewicz维护,涉及arm64、arm、x86_64、i386等40+种架构,个人认为是目前最全的系统调用文档。
Linux Hook系统调用(适用基于x86_64的4.17.0以上的内核版本)
weixin_42915431的博客
04-19 2425
随着rhel8.0于去年5月初发布以来,开启了rhel8.x的时代,随后一段时间里centos、oracle linux也都发布了基于rhel的8.x系统。前段时间我就安装了个centos8.0,但是在编译运行之前写的hook内核的代码时,却发现之前的hook方法不奏效了。 一波谷歌之后,看到了这篇文章[PATCH 000/109] remove in-kernel calls to syscal...
linux内核hook技术之函数地址替换
快乐时光
03-04 1860
前言 函数地址替换是一种更为简单、常见的hook方式,比如对security_ops、sys_call_table等结构中的函数进行替换,来完成自己的安全权限控制。 其中security_ops是LSM框架中所使用的,sys_call_table是系统调用结构。当然了,这些结构目前在内核中都已经是只读数据结构了,如果想直接进行函数替换的话,首先就是考虑解决关闭写保护的问题。在下面的模块例子中,演示了重置cr0寄存器写保护位及其 修改内存页项属性值两种关闭写保护方式,有兴趣的朋友可对...
获取Java 虚拟机进程ID(java应用进程Id的方法) Linux & windows
最新发布
weixin_44131922的博客
04-30 464
这个命令会列出所有包含"java"的进程信息。从中你可以找到你的Java应用对应的进程行,第一列就是进程ID(PID)。这个命令会列出所有包含"java"的进程信息。在输出的信息中,你可以找到Java进程及其PID。替换为你的Java主类名或jar文件名的部分匹配字符串,pgrep会直接返回对应的进程ID。如果你需要在Java程序内部获取其自身的进程ID,可以使用。这段代码会打印出当前运行Java程序的进程ID。
linux hook 系统调用
06-28
Linux Hook 系统调用是指在 Linux 操作系统中,通过修改系统调用来拦截和修改系统调用的行为。这种技术可以用于实现各种功能,如监控系统调用、实现安全策略、实现虚拟化等。Hook 系统调用的实现方式有多种,如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值