Linux ko加载过程劫持

最新推荐文章于 2024-09-24 17:06:31 发布
最新推荐文章于 2024-09-24 17:06:31 发布
阅读量4.3k 收藏 4
点赞数 2
分类专栏: Linux hook 文章标签: linux 链表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42931917/article/details/109168272
版权

这里主要是用到int register_module_notifier(struct notifier_block *nb)的通知链机制,当有ko加载时,notifier函数被调用;
模块的四种状态

enum module_state {
	MODULE_STATE_LIVE, /* Normal state. */
	MODULE_STATE_COMING, /* Full formed, running module_init. */
	MODULE_STATE_GOING, /* Going away. */
	MODULE_STATE_UNFORMED, /* Still setting it up. */
};

当模块加载时,状态位MODULE_STATE_COMING;
register.c

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/slab.h>

MODULE_LICENSE("GPL");

int success_int ( void )
{
    return 0;
}

void success_exit ( void )
{
}

int module_handler ( struct notifier_block *nblock, unsigned long code, void *_param )
{
    unsigned long flags;
    struct module *param = _param;
    //定义一个自旋锁,上锁前禁止中断
    DEFINE_SPINLOCK(module_event_spinlock);
    //开自旋锁
    spin_lock_irqsave(&module_event_spinlock, flags);

    switch ( param->state )
    {
        case MODULE_STATE_COMING:
            printk("Detected insertion of module '%s', neutralizing init and exit routines\n", param->name);
            //改变ko初始化的入口和出口函数
            param->init = success_int;
            param->exit = success_exit;
            break;

        default:
            break;
    }
    //释放自旋锁
    spin_unlock_irqrestore(&module_event_spinlock, flags);

    return NOTIFY_DONE;
}

static struct notifier_block nb = {
    .notifier_call = module_handler,
    .priority = INT_MAX,
};

static int __init register_init(void)
{
  printk("Function --> %s\n",__func__);
  register_module_notifier(&nb);
  return 0;
}

static void __exit register_exit(void)
{ 
  unregister_module_notifier(&nb);
  printk("the funciton is: %s\n",__func__);
}

module_init(register_init);
module_exit(register_exit)

Makefile:

obj-m   := register.o
KDIR    := /lib/modules/$(shell uname -r)/build
PWD	:= $(shell pwd)

default:
	$(MAKE) -C $(KDIR) SUBDIRS=$(PWD) modules
clean:
	$(MAKE) -C $(KDIR) SUBDIRS=$(PWD) clean

实际效果:

[60187.494863] Function --> register_init
[60303.177354] Detected insertion of module 'lkm1', neutralizing init and exit routines

可以看到已经检测到ko的加载过程,并且替换入口函数,原lkm1的模块初始化函数并没有被执行;

Configure-Handler
关注
专栏目录
linux加载与使用ko驱动
dingquyuan5725的博客
08-29 457
linux驱动和有两种形式: 1:编译到内核 2:编译为ko模块 这里记录下ko模块使用方法. 首先cd到/var/lib/(内核版本)/drivers/ 在这里面找到要装载的模块ko文件 modprobe 驱动名 (不用加扩展名.ko) rmmod 可以用卸载模块 可以通过dmesg | tail 查看模块输出的一些信息,通过lsmod指令能看到加载了哪些模块...
linux ko模块动态加载源码分析
oqqYuJi12345678的博客
01-26 3568
linux内核模块分两种形态,一是静态编译进内核的模块,二是用insmod命令动态加载的模块,也就是后缀名为KO的文件。这里主要讨论linux内核动态加载模块的过程,也就是KO文件被动态加载进内核,并运行的过程。 后缀为KO的文件其实是一种ELF格式文件,很类似于ELF目标文件(.o文件),但是又与ELF目标文件有一点小区别。使用readelf工具可以看到,KO文件里有一个叫.gnu.linkonce.this_module的段,而普通目标文件是没有这个段的。这个段的内容其实是一个struct modul
内核模块详细加载/卸载过程
最新发布
weixin_49529507的博客
09-24 1327
"K0"文件通常是指Linux内核模块文件,这些文件包含了可以在运行中的Linux内核中加载和卸载的代码。内核模块允许你在不重新编译整个内核的情况下,向Linux内核添加新功能、驱动程序或其他功能。K0文件的文件格式实际上就是编译后的二进制文件,其结构和格式取决于所加载的内核模块的编译和源代码。一般情况下, Ko文件是一种ELF (Executable and Linkable Format,可执行与可链接格式)文件,这也是Linux 上常见的可执行文件格式之一。
linux设备和驱动加载的先后顺序
热门推荐
maopig的专栏
03-20 2万+
Linux驱动先注册总线,总线上可以先挂device,也可以先挂driver,那么究竟怎么控制先后的顺序呢。 Linux系统使用两种方式去加载系统中的模块:动态和静态。 静态加载:将所有模块的程序编译到Linux内核中,由do_initcall函数加载 核心进程(/init/main.c)kernel_inità do_basic_setup()àdo_initcalls()该函数中会将在_
android ko加载流程,Android Launcher源码研究(三) 加载app流程2
weixin_33247358的博客
05-31 427
接上次的。首先Launcher实现了LauncherModel.Callbacks接口,APP信息数据加载成功后 ,回调接口把app信息显示到Launcher的 workspace界面上,这个过程代码里面称为bind。下面是个类调用过程的时序图,不是很标准,不过能表达基本调用顺序帮助我们理解。首先就是Launcher OnCreate中调用LauncherMode startLoader方法,这里...
Linux Rootkit之二:Linux模块加载与信息隐藏
Remy的学习记录
06-16 3684
LKM Rootkit是通过向系统中加载内核模块实现的。模块加载到系统后会增加一些可供系统探知其存在的信息,而这些信息正是Rootkit希望隐藏起来的。为了明确Linux模块向系统注册的信息以及隐藏方法,首先研究一下Linux模块加载过程。 2.1 代码示例     在Linux系统下创建一个名为rl_module.c的文件,填入如下内容: #include #include #inc
Ubuntu18.04+Linux5.6.12简易添加系统调用、内核模块以及一个综合实验。
maweijian1999的博客
06-15 898
一、写在前面的话。 本文的实现主要参考了https://www.stolaf.edu/people/rab/os/lab/newsyscall.html的实验指导书以及西安邮电大学陈莉君老师的在学堂在线上的《Linux内核分析与应用》课程中1.5以及6.3的实验视频演示。其中,Rab老师的实验指导书对于系统调用有着浅显易懂的讲解,而陈莉君老师的课程视频则是手把手教会了我如何添加一个内核模块以及综合的实验。 此外,就我个人的经验而言,我觉得还是至少在虚拟机,甚至在购买的云服务器上实现这个实验比较好。因为我之前
(渗透测试后期)Linux进程隐藏详解
qq_42882717的博客
03-27 1万+
文章目录(渗透测试后期)Linux进程隐藏详解前言Linux进程基础Linux进程侦查手段Linux进程隐藏手段一、基于用户态的进程隐藏方法1:小隐隐于/proc/pid——劫持readdir系统调用额外:加载至arm方法2:小隐隐于/proc/pid——mount 挂载二、基于内核态的进程隐藏方法3:大隐隐于内核——修改内核源码+系统调用方法4:大隐隐于内核——修改内核源码proc_pid_lookup方法5:大隐隐于内核——编写驱动/内核模块——LKM实现进程隐藏总结 (渗透测试后期)Linux进程隐藏
linux】运维之LAMP
qq_35302220的博客
12-06 277
linux】运维之LAMP
【应急响应】-Linux
Zt_Zk的博客
08-27 858
发现问题要处置,遵循原则:百分百确认是非法文件,报备记录关停,摸棱两可找负责人确认,处置看沟通结果
Linux驱动加载顺序
smart_qiang的专栏
05-28 1256
Linux内核为不同驱动的加载顺序对应不同的优先级,定义了一些宏: include\linux\init.h #define pure_initcall(fn)   __define_initcall("0",fn,1) #define core_initcall(fn)   __define_initcall("1",fn,1) #define core_initcall_sync(fn
linux内核驱动加载方法
flyzhao的专栏
09-01 6474
一般的,在测试阶段的设备驱动都是先使用ko文件加载到系统,然后生成设备节点,再使用应用调用测试。但当驱动测试ok,至少是不会有大的改动的时候,再使用ko文件加载设备驱动就显得不太合理了。首先,ko文件需要系统启动之后才能加载(即使写在脚本里),而且驱动多了维护也麻烦。 设备驱动本来就是内核的一部分,所以在测试好的驱动可以直接编译到内核里面。这里我就不再写ko文件怎么编译怎么...
内核中制作ko文件的步骤_转:Linux下编写和加载 .ko 文件(驱动模块文件)
weixin_29194693的博客
12-23 4002
https://blog.csdn.net/qq_38880380/article/details/79227760一、.ko 文件介绍.ko文件是kernel object文件(内核模块),该文件的意义就是把内核的一些功能移动到内核外边, 需要的时候插入内核,不需要时卸载。二、优点(1)这样可以缩小内核体积;(2)使用方便。三、.ko文件一般的用处(1)作为一个功能模块,需要使用时,直接插入运行...
Android13 GKI架构开发方式
weixin_49303682的博客
12-28 3138
GKI:Generic Kernel Image 通用内核映像。Android13 GMS和EDLA认证的一个难点是google强制要求要支持GKI。GKI通用内核映像,是google为了解决内核碎片化的问题,而设计的通过提供统一核心内核并将SoC和板级驱动从核心内核移至可加载模块中。核心内核为驱动模块提供了稳定的内核模块接口,模块驱动和核心内核可以独立进行更新。内核接口可以通过upstream的方式进行扩展。
Kernel启动流程源码解析 5 start_kernel 下
Android 6.0 源码学习
10-22 2767
一 start_kernel start_kernel函数是kernel启动过程执行的第一个c语言函数,其通过调用一系列初始化函数完成的内核的初始化工作,下篇分析local_irq_enable之后的代码。 1.0 start_kernel 定义在init/main.c中 asmlinkage void __init star
linux ko 文件运行,Linux下编写和加载 .ko 文件(驱动模块文件)
weixin_32568295的博客
05-02 5329
一、.ko 文件介绍.ko文件是kernel object文件(内核模块),该文件的意义就是把内核的一些功能移动到内核外边, 需要的时候插入内核,不需要时卸载。二、优点(1)这样可以缩小内核体积;(2)使用方便。三、.ko文件一般的用处(1)作为一个功能模块,需要使用时,直接插入运行就行。如在imx6上连接模拟摄像头,先运行模拟摄像头对应的驱动模块 camera.ko文件,然后对应的工程执行文件运...
linux驱动加载流程分析
rayylee
12-10 6245
内核是如何加载驱动的,有些是编译到内核里面,有些事编译成ko,让系统自动加载。总的说来,在Linux下可以通过两种方式加载驱动程序:静态加载和动态加载
Notifier Chain 的分析和使用(1)
佛系程序员
08-18 2694
  在分析PM时看到了notifier 相关的函数,这里记录一下学习内容.  notifier_block的定义  定义 了回调函数notifier_call , 当订阅者接受到消息后执行回调函数进行处理. 回调函数可以阻塞,并且运行在进程上下文,atomic 类型的chain 可以运行在中断上下文. struct notifier_block; 定义了一种数据结构类型, notif...
linux ko执行过程
09-08
加载过程中,模块的初始化函数会被调用,执行必要的初始化操作。 4. 模块注册:注册模块的设备驱动程序或其他相关功能。这可以包括设备文件的创建、设备的初始化等。 5. 模块运行:一旦模块成功加载并注册,它可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值