Linux 抓取sys_call_table地址

最新推荐文章于 2024-04-08 00:22:27 发布
最新推荐文章于 2024-04-08 00:22:27 发布
阅读量1.9k 收藏 7
点赞数 7
分类专栏: Linux 驱动开发 文章标签: linux 嵌入式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42931917/article/details/108515020
版权

本文主要介绍三种方法抓取sys_call_table的地址
方法一:以sys_close为参考,遍历内存
方法二:直接抓/proc/kallsyms
方法三:调用函数syscall_table = (unsigned long*)kallsyms_lookup_name(“sys_call_table”);
方法四:sudo cat /boot/System.mapxxxxx | grep sys_call_table

test.c

#include <linux/module.h>
#include <linux/fs.h>
#include <linux/syscalls.h>
#include <linux/kallsyms.h>
MODULE_LICENSE("GPL"); 
MODULE_AUTHOR("curits li");
MODULE_DESCRIPTION("HELLO");
MODULE_VERSION("1.0");

unsigned long *syscall_table;
struct module *mod;
/*
 *  run over the memory till find the sys call talbe
 *  doing so, by searching the sys call close.
 *  kernel version over 5.3 using ksys_close.
 */
//方式一,遍历内存查找
unsigned long * obtain_syscall_table_bf(void)
{
  	unsigned long *syscall_table;
	unsigned long int i;

	for (i = (unsigned long int)sys_close; i < ULONG_MAX;
			i += sizeof(void *)) {
		syscall_table = (unsigned long *)i;

		if (syscall_table[__NR_close] == (unsigned long)sys_close)
			return syscall_table;
	}
	return NULL;
}

unsigned long *
get_sct(void)
{
    return obtain_syscall_table_bf();
}


   static int hello_init(void)
    {	
	printk("%s\n", "Greetings the World!");
 //	struct module *mod;	
    	syscall_table = get_sct();

     	printk("PAGE_OFFSET = %lx\n", PAGE_OFFSET);
    	printk("syscall_table = %p\n", syscall_table);
	
	//方式二,直接使用shell命令
	//system("cat /proc/kallsyms | grep -w sys_call_table | awk '{print $1}'");
	
	//方式三,需要添加头文件
        printk("sys_call_table address is: %lx\n",kallsyms_lookup_name("sys_call_table"));
        
        printk(KERN_ALERT "this module: %p==%p\n", &__this_module, THIS_MODULE );
        printk(KERN_ALERT "module state: %d\n", THIS_MODULE->state );
        printk(KERN_ALERT "module name: %s\n", THIS_MODULE->name );
        printk(KERN_ALERT"module version:%s\n",THIS_MODULE->version);  
        list_for_each_entry(mod, *(&THIS_MODULE->list.prev), list )
        printk(KERN_ALERT "module name: %s\n", mod->name );

        return 0;
    }
 
    static void hello_exit(void)
    {
        printk(KERN_ALERT "module state: %d\n", THIS_MODULE->state );
        printk("find_module bye...\n");
    }
 
module_init(hello_init);
module_exit(hello_exit);

Makefile:

CONFIG_MODULE_SIG=n

ifeq ($(KERNELRELEASE),)

ROOTS_DIR = /root/
#内核源码路径,不同环境可能会不一样,内核源码一定要先编译
KERNEL_DIR = /lib/modules/$(shell uname -r)/build
CUR_DIR = $(shell pwd)

all: 
	make -C $(KERNEL_DIR) M=$(CUR_DIR) modules
clean :
	make -C $(KERNEL_DIR) M=$(CUR_DIR) clean
install:
	insmod test.ko
uninstall:
	rmmod test
    
else
#用于指定到底编译的是哪个代码--hello.c
obj-m += test.o
#obj-m += math.o
endif

在编译驱动代码的时候报错

warning: ISO C90 forbids mixed declarations and code [-Wdeclaration-after-statement]

从报错的信息很直观的可以看出是因为“ISO C90 禁止将声明和代码混合”,也就是说结构体 struct module *mod 因该在函数外进行声明,把结构体声明放在开头,编译不再由warming。

结尾粘上效果:

[22919.816516] PAGE_OFFSET = ffff880000000000
[22919.816517] syscall_table = ffffffff816beee0
[22919.819755] sys_call_table address is: ffffffff816beee0
[22919.819757] this module: ffffffffc06da000==ffffffffc06da000
Configure-Handler
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux x86平台获取sys_call_table(1),2024年最新总结2024年180道Linux运维岗面试题
m0_60567796的博客
04-17 682
SYSCALL 指令:RIP = IA32_LSTAR MSR 寄存器 = system_call。
Linux系统中获取系统调用表(system call table)地址的几种方法
weixin_42915431的博客
06-02 6960
上回讲到如何编写简单的内核模块,那么内核模块可以用来做什么呢?一个例子就是可以hook系统调用,替换为自己的接口函数;还有就是设备驱动的开发。 本文将就hook系统底层调用技术展开讨论。下图是应用层的一个系统调用在linux系统中的调用流程: 在应用层调用getpid系统调用,为glibc中封装,此调用会引发int 80中断,调用切换到内核空间,然后根据system_call数组及其_NR_getpid下标找到系统调用sys_getpid接口的地址,之后将会返回系统调用结果到应用层。 ..
Linux x86平台获取sys_call_table
小立仔
02-29 920
Linux 3.10.0 -- x86_64 获取sys_call_table的几种方式
获取sys_call_table地址
ShirokoYae的博客
08-05 751
关于劫持系统调用时的sys_call_table地址,在上篇文章中提到了手动获取系统调用表地址的方法,本文采用 kallsyms_lookup_name() 来获得sys_call_table的符号地址。 文章指路:https://blog.csdn.net/ShirokoYae/article/details/119036040 主要参考文章:https://blog.csdn.net/zzzpany/article/details/94308431,获取方法 次要参考文章:https://blog
Linux关于sys_call_table的使用
赵四司机的博客
11-06 835
系统调用服务程序的地址存放在sys_call_table中,通过系统调用号定位到具体的系统调用地址,然后我们就可以通过编写内核模块来修改sys_call_table中的系统调用的地址来为我们自己定义的函数的地址,可以实现系统调用的拦截。但是我的版本不支持sys_call_table的导出,所以需要获得sys_call_table地址,通过sudo cat /proc/kallsyms | grep sys_call_table 可以看出sys_call_table数组的首地址为0xffffffffb5
Linux Rootkit 系列二:基于修改 sys_call_table 的系统调用挂钩
whatday的专栏
07-23 1621
与第一篇文章作者所想象的不同,本文不打算给大家介绍三种不同的系统调用挂钩技术,相反,本文仅详细讲解最简单的系统调用挂钩方案,并且基于这个方案实现最基本的文件监视工具。这样,既可以让读者轻松上手进行实际应用, 又可以加深、巩固读者对LKM的理解,同时还免去了一次学习多种挂钩方案的理论知识压力。 所以,本文力求以实验为核心,每一个步骤都可能有对应的实验代码。代码仓库:https://github...
操作系统笔记(三)——系统调用的实现(System Call)
肌肉猛男
02-06 2278
系统调用的实现前言系统调用的直观实现内核(用户)态,内核(用户)段处理器保护环将其分为了四部分对于内核段代码的处理用段寄存器来进行解决硬件提供了“主动进入内核的方法”系统调用的核心 int 0x80 前言 前面的文章说了什么是系统调用,就是系统提供给上层用户的一些函数,如open,read,write…,表面上是一些函数,背后是如何实现的呢? 这一篇文章就会记录系统调用是如何实现的。 系统调用的直观实现 反正所想要打印的代码与系统代码都在内存里,直接跳转,直接调用不可以吗? 答:肯定是不能的。 不能随意的
cam.rar_CAM linux_imageavv_视屏采集代码
09-24
Linux环境下进行视频采集是一项常见的任务,特别是在多媒体应用、监控系统或者实时视频处理等领域。"cam.rar_CAM linux_imageavv_视屏采集代码"这个压缩包文件提供了在Linux上实现这一功能的相关源代码。让我们...
sohu.zip_抓取 sohu
09-21
标题“sohu.zip_抓取 sohu”暗示我们要讨论的是如何从搜狐网站(Sohu)上抓取数据。在互联网行业中,数据抓取(也称为网页抓取或网络爬虫)是一种自动化技术,用于从网站获取大量信息。在这个场景中,目标是获取搜狐...
java_zhizhu.rar_java LinkFilter_抓取网页_蜘蛛_蜘蛛程序
09-24
在IT领域,网络爬虫(Spider)是一种自动化程序,它按照预定的规则遍历互联网上的网页,抓取所需的信息。本项目"java_zhizhu.rar"提供的就是一个使用Java实现的LinkFilter蜘蛛程序,用于抓取和分析网页内容,并将其...
cdrom.rar_cdrom_linux cdrom
09-14
Linux操作系统中,CD-ROM设备驱动程序扮演着至关重要的角色,允许系统识别并操作光驱。"cdrom.rar_cdrom_linux cdrom"这个标题暗示了我们正在讨论的是关于Linux环境下CD-ROM驱动的相关内容,可能是一个包含相关...
linux系统调用表x64.xlsx
05-10
linux x86-64的系统调用表,调用后返回的地址存放在rax寄存器中。用这张表来查询对应的调用号以及各寄存器需要配置的数值,并用syscall执行调用。
BYD.rar_byd_比亚迪_网页抓取_网页数据 c#
09-14
【标题】"BYD.rar_byd_比亚迪_网页抓取_网页数据 c#"涉及的核心知识点主要集中在网页抓取和C#编程语言上,特别是在利用C#进行网页数据的抓取和处理方面。在这个项目中,开发者可能使用了C#语言来编写程序,以从...
linux 命令 sys_call_table地址,Linux2.6内核模块获取sys call table地址
weixin_42524165的博客
05-03 333
在上面的代码中,最复杂的应该就是从0x80中断的服务例程中搜索sys_call_table的一段了,现解释如下。首先,我们使用命令“gdb -q /usr/src/kernels/2.6.19/vmlinux”来反编译内核,再使用“disass system_call”和“disass syscall_call”两条gdb命令来查看内核的汇编代码,其结果如下:(gdb) disass system...
linux查看 idt日志,Linux漏洞挖掘:08---系统调用劫持之(经过IDT中断向量表获取sys_call_table系统调用表)...
weixin_28940217的博客
05-11 199
1、IDT中断向量表简介IDT是中断向量表,其被分为许多个段,一个段被分为中断号和中断处理函数 2、经过IDT中断向量表获取sys_call_table系统调用表IDT这个表的地址是在特殊寄存器中存储的,而这个特殊寄存器的地址是咱们能够经过编程设计获取的在系统调用详细文章中(见文章:https://blog.csdn.net/qq_41453285/article/details/10281010...
Linux sys_call_table变动检测
weixin_33972649的博客
03-13 316
catalogue 0. 引言 1. 内核ko timer定时器,检测sys_call_table adress变动 2. 通过/dev/kmem获取IDT adress 3. 比较原始的系统调用地址和当前内核态中的系统调用地址发现是否有sys_call_table hook行为   0. 引言 内核rookit通常以系统调用为攻击目标,主要出于两个原因 1. 在内核态...
linux反汇编如何得到各个函数的地址,多种方法获取sys_call_table(linux系统调用表)的地址...
weixin_42504279的博客
05-08 936
syscall_call:call *sys_call_table(,%eax,4)假设我们没有vmlinux可供gdb反汇编,那也只有采用模拟的方式了,模拟出一个call *sys_call_table(,%eax,4),然后看其机器码,然后在system_call的附近基于这个特征进行寻找 :void fun1() { printf("fun1/n"); } void fun2() { pri...
Linux系统调用表(system call table)
RToax
11-19 5898
Linux系统调用表》 《linux系统调用表(system call table)》 《线上环境 Linux 系统调用追踪》 《Linux系统调用权威指南》 《为什么系统调用会消耗较多资源?系统调用的三种方法:软件中断(分析过程)、SYSCALL指令、vDSO(虚拟动态链接对象linux-vdso.so.1)》 系统调用号 函数名 入口点 源码 0 read sys_read fs/read_write.c 1 write sys_wri
Linux x86平台获取sys_call_table(2),转疯了
最新发布
2401_84139587的博客
04-08 742
Linux 3.10.0 – x86_64最简单获取sys_call_table符号的方法:ffffffff816beee0 R sys_call_table内核模块使用 kallsyms_lookup_name(推荐) 或者 kprobe:unsigned long * __sys_call_table = (unsigned long *)kallsyms_lookup_name(“sys_call_table”);下面举例说明一下x86_64平台下其他获取sys_call_table的方案。(1)//
sqlite3_get_table如何抓取数据
05-28
`sqlite3_get_table` 函数用于获取查询结果。它的使用方法如下: ```c int sqlite3_get_table( sqlite3 *db, /* 数据库连接对象 */ const char *zSql, /* SQL 查询语句 */ char ***pazResult, /* 查询结果 */ int *pnRow, /* 行数 */ int *pnColumn, /* 列数 */ char **pzErrmsg /* 错误信息 */ ); ``` 其中 `db` 参数是通过 `sqlite3_open` 函数打开的数据库连接对象;`zSql` 参数是要执行的 SQL 查询语句;`pazResult` 参数是一个指向查询结果的指针;`pnRow` 参数返回查询结果的行数;`pnColumn` 参数返回查询结果的列数;`pzErrmsg` 参数返回错误信息(如果有错误发生)。 在调用 `sqlite3_get_table` 函数后,会将查询结果保存在 `pazResult` 指针指向的数组中。该数组的前 `(*pnRow + 1) * (*pnColumn)` 个元素是查询结果的全部内容,其中第一行是列名,后面的每一行是对应的结果。因此,可以通过遍历该数组来访问查询结果的每一行和每一列的数据。 需要注意的是,使用完 `pazResult` 指向的数组后,需要调用 `sqlite3_free_table` 函数释放该数组占用的内存。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值