Linux2.6内核的LKM Rootkit原理
LKM Rootkit之HOOK系统调用表
一、修改系统调用表的地址
Linux机制 | HOOK系统调用表方式 |
---|---|
sys_call_table[]导出 | sys_call_table[__NR_open] = (void *) my_func_ptr; |
system_call函数 | call *sys_call_table(,%eax,4) |
陷阱门 | SIDT——IDTR——IDT——set_system_gate(SYSCALL_VECTOR,&system_call); |
struct idt_descriptor
{
unsigned short off_low;