1、系统调用拦截
系统调用拦截的目的其实就是把系统真正要执行的系统调用替换为我们自己写的内核函数,这里有一篇博客,对此作了介绍,https://blog.csdn.net/zhangyifei216/article/details/49872861
系统调用拦截的两个问题,一个是找到sys_call_table
地址,一个是修改内存页的属性,让其变为可写。
1)找sys_call_table地址
我们可以通过两种方法来查找sys_call_table
地址:
一、使用kallsyms_lookup_name
使用kallsyms_lookup_name
函数,来读取对应的sys_call_table
的地址,但是kallsyms_lookup_name
这个函数能否可以被我们使用,能否在我们写的内核模块中导出。
这要看内核代码中是否有加入EXPORT_SYMBOL
。
EXPORT_SYMBOL
标签内定义的函数或者符号对全部内核代码公开,
不用修改内核代码就可以在您的内核模块中直接调用,
即使用EXPORT_SYMBOL
可以将一个函数以符号的方式导出给其他模块使用。
使用方法
第一、在模块函数定义之后使用EXPORT_SYMBOL
(函数名)