linux内核钩子函数实现监测块设备读写事件

已于 2024-07-15 11:42:02 修改
阅读量170 收藏 2
点赞数 2
文章标签: linux 内核钩子 io监控
于 2024-07-15 11:31:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiujiederoushan/article/details/140433978
版权

方案:利用linux内核钩子实现,钩子可以捕获到内核事件并做出额外处理。钩子的注册方式主要有两种,kproge和jprobe,jprobe是kprobe上层的封装,使用更加简单。submit_bio为块设备io请求的顶层函数,对其进行监听可实现对块设备io事件的监测。

过程:使用kprobe或者jprobe注册对应的内核符号(内核函数调用)进行监听,每当有对应的内核调用发生时,会优先执行钩子函数。

环境准备:下载uname -r对应的内核开发包(后续Makefile中编译选项-C指向其目录)

代码:

catch_bio.c

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/kprobes.h>
#include <linux/bio.h>

static void submit_bio_probe(int rw, struct bio * bio) {
        if(bio && bio->bi_io_vec != NULL) {
        char b[BDEVNAME_SIZE];
        printk(KERN_INFO "device[%s] , type[%s] , offset[%10lld] , length[%d]" , bdevname(bio->bi_bdev, b), rw & WRITE ? "write" : "read" , bio->bi_sector, bio_sectors(bio));
    }
    jprobe_return();
}

static struct jprobe catch_bio_jprobe = {
    .entry = (kprobe_opcode_t *) submit_bio_probe,
    .kp = {
        .addr = NULL,
        .symbol_name = "submit_bio",
    },
};

static int __init mod_init(void) {
    int iRet = 0;
    iRet = register_jprobe(&catch_bio_jprobe);
    if(iRet < 0) {
        printk(KERN_ERR "Module[catch_bio] init failed! Func register_jprobe failed, ret[%d]", iRet);
        return iRet;
    }
    printk(KERN_INFO "Module[catch_bio] init successful.");
    return iRet;
}

static void __exit mod_exit(void) {
    unregister_jprobe(&catch_bio_jprobe);
    printk(KERN_INFO "Module[catch_bio] exit successful.");
}

module_init(mod_init);
module_exit(mod_exit);
MODULE_LICENSE("GPL");

Makefile

KERNEL_DIR = /usr/src/kernels/`uname -r`

obj-m   += catch_bio.o

all:
    make -C $(KERNEL_DIR) M=`pwd` modules

clean:
    make -C $(KERNEL_DIR) M=`pwd` modules clean
    rm -rf *o *.mod.c *.order *.symvers

装载驱动:insmod catch_bio.ko

卸载驱动:rmmod catch_bio.ko

驱动监控结果输出:view /var/log/messages  (结果如下图)

补充(其他常用的内核勾子点):

1. 系统调用勾子

  • sys_open
  • sys_read
  • sys_write
  • sys_execve
  • sys_clone
  • sys_fork
  • sys_exit

2. 网络勾子

  • nf_register_hook / nf_unregister_hook(Netfilter 勾子)
  • dev_add_pack / dev_remove_pack(网络包接收勾子)
  • inet_register_protosw / inet_unregister_protosw(协议勾子)

3. 文件系统操作

  • vfs_read
  • vfs_write
  • vfs_open
  • vfs_close

4. 进程管理

  • do_fork
  • do_exit
  • schedule(调度函数)

5. 内存管理

  • __kmalloc
  • kfree
  • vmalloc
  • vfree

6. 驱动操作

  • register_chrdev
  • unregister_chrdev
  • register_blkdev
  • unregister_blkdev

7. 安全勾子(Linux Security Modules)

  • security_inode_create
  • security_file_open
  • security_task_create
  • security_socket_create

8. 其他重要勾子

  • register_filesystem / unregister_filesystem
  • alloc_inode / destroy_inode
  • module_load / module_unload(模块加载和卸载)
OctopusMonster
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统交换(swap)机制实现原理以及OOM测试
tugouxp的专栏
07-20 2055
综上,可以swap出去的页面包含匿名页和共享页,除此之外,不支持swap到磁盘交换分区或者swap文件。所以可以看出,对于内存回收来说,文件cache的回收和匿名页面的回收是同一个路径,没有区别,只有到具体的承载后台时候,这也是为何开始一致寻找swap处理的“特殊路径”求而不得的原因,原因就是这个特殊路径不存在,swap处理也没有什么特殊的,"特殊"的部分仅仅是swap_aops的实现,这部分一开始我就找到了。匿名页面是如何来的?
Linux 内核设计与实现
Liuqz2009的专栏
04-21 1741
那样寄存器较少的硬件体系结构只要通过栈指针就能计算出它的位置,而避免使用额外的寄存器专门记录。本章主要用来摘录《Linux 内核设计与实现》一书中学习知识点,其基于。包含了一个具体进程的所有信息。在 2.6 以前的内核中,各个进程的。存放在它们内核栈的尾端。这样做是为了让那些像。,所以只需要在栈底创建一个新的结构。
linux内核 攻击,针对Linux内核提权攻击防御方法的研究
weixin_39960116的博客
04-30 624
摘要:本文提出了一种基于Intel SMEP的轻量级的内核控制流完整性防御方法,以防御exploit-db中常见的内核提权攻击。该方案通过分离内核钩子函数的解引用和验证操作,在解引用处记录钩子函数,在敏感函数内验证钩子函数是否合法,防止恶意进程利用内核代码漏洞,修改全局函数钩子,导致内核中的敏感代码被恶意执行。关键词:Linux内核 SMEP 提权攻击中图分类号:TP393 文献标识码:A 文章编...
Linux内核配置选项
路漫漫其修远兮
04-25 6769
http://blog.csdn.net/wdsfup/article/details/52302142http://www.manew.com/blog-166674-12962.htmlGentoo LinuxGentoo内核(gentoo-sources)特有的选项Gentoo Linux supportCONFIG_GENTOO_LINUX选"Y"后,将会自动选中那些在Gentoo环境...
Linux网络编程常用函数总结
weixin_64302349的博客
10-09 164
Linux系统编程函数总结
Linux内核配置选项简介
热门推荐
阿生的专栏
06-02 1万+
Linux内核配置选项简介   Gentoo Linux Gentoo内核(gentoo-sources)特有的选项 Gentoo Linux support CONFIG_GENTOO_LINUX 选"Y"后,将会自动选中那些在Gentoo环境中必须开启的内核选项,以避免用户遗漏某些必要的选项,减轻一些用户配置内核的难度.建议选"Y". Linux dy
Linux-4.4-x86_64 内核配置选项简介
轮子工厂
10-15 4890
Linux-4.4-x86_64 内核配置选项简介 作者:金步国 64-bit kernel CONFIG_64BIT 编译64位内核.本文仅讲述x86_64(AMD64)平台的内核编译,所以这个是必选项. General setup 常规设置 Cross-compiler tool prefix CONFIG_CROSS_COMPILE 交叉编译工具前缀(比如"arm-linux...
linux 内核配置简介
柯利南的专栏
07-08 1万+
Gentoo Linux Gentoo内核(gentoo-sources)特有的选项 Gentoo Linux support CONFIG_GENTOO_LINUX 选"Y"后,将会自动选中那些在Gentoo环境中必须开启的内核选项,以避免用户遗漏某些必要的选项,减轻一些用户配置内核的难度.建议选"Y". Linux dynamic and persistent dev
Linux-3.10-x86_64 内核配置选项简介
haichunzhao的专栏
12-23 1万+
Linux-3.10-x86_64 内核配置选项简介 作者:金步国[www.jinbuguo.com] 版权声明 本文作者是一位开源理念的坚定支持者,所以本文虽然不是软件,但是遵照开源的精神发布。 无担保:本文作者不保证作品内容准确无误,亦不承担任何由于使用此文档所导致的损失。 自由使用:任何人都可以自由的阅读/链接/打印此文档,无需任何附加条件。 名誉权:任何人都
Linux内核读写文件数据的方法
07-29
由于内核环境中没有标准C库的支持,必须使用内核提供的特定函数来实现这一目标。以下是对主要涉及的函数的详细解释: 1. **打开文件**: 使用`filp_open()`函数来打开文件,它接受三个参数:`filename`(文件名,...
如何在Linux内核读写文件数据实现方法说明-综合文档
05-25
如何在Linux内核读写文件数据实现方法说明[摘要]有时候需要在Linuxkernel-大多是在需要调试的驱动程序-中读写文件数据。在kernel中操作文件没有标准库可用,需要利用kernel的一些函数,这些函数主要有:...
Linux内核设计与实现(第三版中文高清带目录)_linux_linux内核_
10-01
Linux内核设计与实现》是理解Linux操作系统内核架构和技术细节的重要参考资料,特别是第三版中文高清版,为读者提供了全面且深入的内核解析。这本书由Robert Love编写,是学习Linux内核不可或缺的经典之作。以下将...
Linux内核延时研究与函数代码分析
07-29
Linux内核延时研究与函数代码分析 Linux内核延时研究是Linux系统中一个重要的概念,主要涉及到驱动程序的延时处理和函数代码的分析。在Linux系统中,驱动程序需要与硬件同步,需要非常短的延迟来实现同步。 Linux...
如何在Linux内核读写文件数据实现方法说明
07-06
有时候需要在Linuxkernel-大多是在需要调试的驱动程序-中读写文件数据。在kernel中操作文件没有标准库可用,需要利用kernel的一些函数,这些函数主要有:filpopenofilpclose),vfsreadOvfswrite(),setfs0,getfs...
【持续集成_05课_Linux部署SonarQube及结合开发项目部署】
weixin_42333261的博客
07-12 166
前置条件:sonarQube不能使用root账号进行启动,所以需要创建普通用户及。3)CMD上传qube文件-不能传到home路径下哦。2)添加用户、组名、密码。4)检查并解压上传的包。
linux的学习(四):磁盘,进程,定时,软件包的相关命令
最新发布
weixin_45037073的博客
07-14 813
关于磁盘管理,进程管理,定时任务,软件包管理的命令的使用。
Linux 安装 Docker Compose
m0_63004677的博客
07-12 312
Linux 系统安装 Docker Compose
Linux】 GCC/G++与Makefile使用
Long_kin的博客
07-11 991
收藏向 使用解析
Linux内核分析与应用课件第9章-工程实践-块设备驱动.pdf
01-01
Linux内核分析与应用课件

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值