IA32架构下截获系统调用的方法

最新推荐文章于 2022-01-09 15:47:34 发布
最新推荐文章于 2022-01-09 15:47:34 发布
阅读量515 收藏
点赞数
文章标签: system table vector linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/linux_kernel_2_8/article/details/1731739
版权

 


1 系统调用的基础

应用程序通过0x80号中断进入系统调用,所以首先要在硬件机制上铺好进入中断的道路
这是在系统初始化进行的:
void __init trap_init(void)
{
...
set_system_gate(SYSCALL_VECTOR,&system_call);
...
}


2 系统调用表
在IA32架构下,内核里所有的系统调用的入口函数,都被放入系统调用表中
在arch/i386/kernel/syscall_table.S中

ENTRY(sys_call_table)
 .long sys_restart_syscall
 .long sys_exit
 .long sys_fork
 .long sys_read
 .long sys_write
 .long sys_open  /* 5 */
 .long sys_close
 ......
}

这张表其实就是个函数指针表,这张表是系统调用总的转发依据


在进入system_call之后,内核以eax的系统调用号为索引,调用对应的系统调用入口函数:

syscall_call:

#eax存放着系统调用号,这里进入对应的系统调 用
 call *sys_call_table(,%eax,4)

# 从系统调用中返回,eax里存放系统调用的结果
 movl %eax,PT_EAX(%esp)    


3 系统调用的截获
我们就是要在进入系统调用之前和之后截获系统调用
首先准备我们的系统调用进入和退出时的截获函数

asmlinkage void senix_sys_enter(int call)
{
 printk("senix_sys_enter %d %s %d/n",current->pid,current->comm,call);
 
}

asmlinkage void senix_sys_exit(int ret)
{
 printk("senix_sys_exit %d %s %d/n",current->pid,current->comm,ret);

}

 

 

然后修改进入系统调用的流程

syscall_call:

#保存eax里的系统调用号,防止被修改
 pushl %eax    

#进入我们的截获函数,在里面截取系统调用号(也可截获其他参数)
 call senix_sys_enter 

#恢复系统调用号     

 popl %eax
 call *sys_call_table(,%eax,4)

#保存eax里的系统调用返回值,防止被修改
 pushl %eax     

#进入我们的截获函数,在里面截取系统返回值

call senix_sys_exit

#恢复系统调用返回值  
popl %eax
movl %eax,PT_EAX(%esp) 
...


4 讨论
以上代码在本人的机器上调试成功,内核版本为linux-2.6.21.5

 

 


===============================================================
讨论  linux_kernel_2_6@yahoo.com.cn
未经允许请勿用于商业用途
                                             wangsen
===============================================================

 

 

linux_kernel_2_8
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux操作系统中如何截获系统调用
joy
03-22 1644
Linux操作系统中如何截获系统调用 使用Linux Kernel Module的一般目的就是扩展系统的功能,或者给某些特殊的设备提供驱动等等。其实利用Linux内核模块我们还可以做一些比较“黑客”的事情,例如用来拦截系统调用,然后自己处理。嘿嘿,有意思的说。   下面给出一个简单的例子,说明了其基本的工作过程。  #de
IA-32架构软件开发人员手册_1~3卷:系统编程指南
02-22
Intel® 64 and IA-32 架构软件开发人员手册1~3卷,英文版 Intel® 64 and IA-32 ArchitecturesSoftware Developer’s ManualVolume (1, 2A, 2B, 2C, 3A, 3B and 3C):System Programming Guide
64位linux 兼容32位程序,linux的64位操作系统对32位程序的兼容-全面分析
weixin_35658042的博客
05-07 488
1.结构体ioctl_trans:struct ioctl_trans {unsigned long cmd;ioctl_trans_handler_t handler;struct ioctl_trans *next;};该结构体提供了一个粘合层,用户可以动态注册一个ioctl_trans以便其提供64位和32位的粘合:extern int register_ioctl32_conversion...
Linux系统调用之二——调用机制
weixin_43083491的博客
01-09 1548
无论是GUI(用户图形接口)、应用程序,还是命令行接口最终都需要使用系统调用来实现。 当我们要打开文件(open)然后进行写入(write)或者分配内存(malloc)时,此时将会切换到内核态,虽然我们并察觉不到;之后内核对调用进行检查,如果通过,则按照指令执行相应的操作,分配相应的资源。
Linux系统调用指南
zhangji
01-13 1万+
Linux系统调用指南 格式后头慢慢调,暂时先这样 原文链接: blog.packagecloud.io https://zcfy.cc/article/the-definitive-guide-to-linux-system-calls-670.html?t=new 这篇blog解释linux程序如何调用linux内核函数。 这篇文章概述不同的几个做系统调用方法,如何自己写系统调用(包含例子)...
Linux x86_64 内核查找sys_call_table注意事项
weixin_33836874的博客
07-19 263
1 注意Linux x86_64使用的LP64字长模式 2 Linux x86_64可以通过三种方式获取system_call表 Linux x86_64有两套调用模式:Long模式和兼容模式,对应有两套调用表:system_call,ia32_syscall. 2.1 兼容方式 使用int 0x80,MSR寄存器地址为0xc0000083,宏MSR_CSTAR来代表....
ubuntu 下安装32位库 ia32-libs方法
12-24
在64-bit机器上运行32-big的应用程序是,需要安装ia32-libs库 下载ia32-libs.tar.gz(下载地址:http://www.uuuwg.com/user/other/61NziUd2T) 接着对“ia32-libs.tar.gz” 进行解压,解压完成之后进入相应的目录...
Intel 64 和 IA-32 微架构
01-31
Intel 64 和 IA-32 微架构
英特尔® 64 和 IA-32 架构软件开发人员手册卷 3A:系统编程指南
01-06
英特尔® 64 和 IA-32 架构软件开发人员手册卷 3A:系统编程指南
剖析Intel IA32架构下C语言及CPU浮点数机制
10-09
剖析Intel IA32架构下C语言及CPU浮点数机制
linux的64位操作系统对32位程序的兼容-全面分析
Netfilter
03-03 1万+
<br />1.结构体ioctl_trans:<br /> struct ioctl_trans {<br />     unsigned long cmd;<br />     ioctl_trans_handler_t handler;<br />     struct ioctl_trans *next;<br /> };<br /> 该结构体提供了一个粘合层,用户可以动态注册一个ioctl_trans以便其提供64位和32位的粘合:<br /> extern int register_
linux hook
cncnlg的专栏
05-21 4099
目录 1. 系统调用Hook简介 2. Ring3中Hook技术 3. Ring0中Hook技术 4. 后记 1. 系统调用Hook简介 系统调用属于一种软中断机制(内中断陷阱),它有操作系统提供的功能入口(sys_call)以及CPU提供的硬件支持(int 3 trap)共同完成。 我们必须要明白,Hook技术是一个相对较宽的话题,因为操作系统从ring3
linux系统调用_Linux系统调用过程分析
weixin_39637363的博客
11-10 483
背景为了安全,Linux 中分为用户态和内核态两种运行状态。对于普通进程,平时都是运行在用户态下,仅拥有基本的运行能力。当进行一些敏感操作,比如说要打开文件(open)然后进行写入(write)、分配内存(malloc)时,就会切换到内核态。内核态进行相应的检查,如果通过了,则按照进程的要求执行相应的操作,分配相应的资源。这种机制被称为系统调用,用户态进程发起调用,切换到内核态,内核态完成,返回用...
系统调用内部数据结构以及执行过程的初步分析
代码笔记本
12-14 746
主要是找到一篇不错的博客进行学习 系统调用概述 ​ 计算机系统的各种硬件资源是有限的,在现代多任务操作系统上同时运行的多个进程都需要访问这些资源,为了更好的管理这些资源进程是不允许直接操作的,所有对这些资源的访问都必须有操作系统控制。也就是说操作系统是使用这些资源的唯一入口,而这个入口就是操作系统提供的系统调用(System Call)。在linux系统调用是用户空间访问内核的唯一手段。 ​ 一般情况下应用程序通过应用编程接口API,而不是直接通过系统调用来编程。不过在linux系统编程和之前的实验中.
多种方法获取sys_call_table(linux系统调用表)的地址
热门推荐
Netfilter
05-28 1万+
<br />一.方法一:常用方式,也是一google一堆的方式<br />我们首先需要找到call table-with-offset的特征,先看下面的代码<br />syscall_call:<br />         call *sys_call_table(,%eax,4)<br /> 假设我们没有vmlinux可供gdb反汇编,那也只有采用模拟的方式了,模拟出一个call *sys_call_table(,%eax,4),然后看其机器码,然后在system_call的附近基于这个特征进行寻找
CPU核心温度获取
huanggang982的专栏
12-24 4526
转自:http://www.68idc.cn/help/buildlang/ask/20150310264569.html 最近在研究怎样获取CPU的温度,网上也有一些办法,但都不算完整,没有清晰的解决方案,现在把我的方法完整的说一下,其实是很简单的东西,没有什么很复杂的。有些地方班门弄斧,各位大侠多多担待。因为我用的是Intel的CPU,所以只做了Intel的,APU的没办法测试,感兴趣的
Linux syscall Hook
钞sir的博客
03-26 1557
简介 Linux程序基本都是靠系统调用(syscall)来实现的, 所以可以控制到syscall, 就可以对程序进行监控或修改了; 前置知识 我们知道现在系统中程序分为64位和32位的, 系统为了兼容这些程序对系统函数的调用方法进行了简单的区分,最直观的就是64位程序使用syscall来调用系统函数,而32位的程序使用的是int 0x80, 比如这里的sleep函数的系统调用: 64位程序: 32位程序: 当然, 不是简单一个syscall命令或者int 0x80命令就可以完成一个系统调用, 还有一个系
Linux Rootkit 系列三:实例详解 Rootkit 必备的基本功能
whatday的专栏
07-23 879
本文所需的完整代码位于笔者的代码仓库:https://github.com/NoviceLive/research-rootkit。 测试建议:不要在物理机测试!不要在物理机测试! 不要在物理机测试! 概要 在上一篇文章中笔者详细地阐述了基于直接修改系统调用表 (即sys_call_table/ia32_sys_call_table)的挂钩, 文章强调以代码与动手实验为核心。 长...
ia-32e处理器如何调用浮点单元
最新发布
07-13
IA-32e处理器可以通过以下几种方式调用浮点单元: 1. 使用浮点指令:IA-32e处理器提供了一系列专门用于执行浮点运算的指令集,例如加法、减法、乘法、除法等。这些指令可以直接操作浮点寄存器,将浮点数据加载到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值