这几天做操作系统课程的作业,其中一个要求是设计内核模块,在查阅资料的过程中发现内核模块可以在不重新编译内核的情况下增加内核的功能,当然也可以对内核进行修改,实现对系统调用的劫持。这篇文章就是对linux下劫持系统调用的介绍和资料的整理。
一、介绍
先介绍一下内核模块。内核模块是在操作系统需要的时候动态载入的目标文件对象,链接成内核的一部分,从而可以在不重新编译整个内核的情况加扩展内核的功能。例如一些内核模块是设备驱动程序模块,它们用来让操作系统正确的识别和使用硬件设备,如果没有内核模块,每次增加新驱动程序就得重新编译内核和重启了。
复习一下系统调用的流程。Linux中实现系统调用时利用了i386体系结构中的软件中断,系统调用使用的是0x80号中断。当系统调用发生时,CPU被切换到内核态执行中断向量表IDT对于的第0x80号中断处理函数,即跳转到了我们熟悉的system_call()的入口,system_call()函数检查系统调用号(在寄存器中),然后在sys_call_table中找到与系统调用号相对应的内核函数的入口地址,接着调用这个内核函数,在返回后做一些系统检查,最后返回到进程。
下面看看system_call的主要源码,在linux\arch\i386\kernel\entry.S中。
ENTRY(