通过系统调用,内核断点方法定位用户进程被内核踩内存的问题

最新推荐文章于 2023-08-25 17:12:30 发布
VIP文章 最新推荐文章于 2023-08-25 17:12:30 发布
阅读量517 收藏 2
点赞数 1
分类专栏: 踩内存
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunshineywz/article/details/105568941
版权

1、系统调用拦截

系统调用拦截的目的其实就是把系统真正要执行的系统调用替换为我们自己写的内核函数,这里有一篇博客,对此作了介绍,https://blog.csdn.net/zhangyifei216/article/details/49872861

系统调用拦截的两个问题,一个是找到sys_call_table地址一个是修改内存页的属性,让其变为可写

1)找sys_call_table地址

我们可以通过两种方法来查找sys_call_table地址:

一、使用kallsyms_lookup_name

使用kallsyms_lookup_name函数,来读取对应的sys_call_table的地址,但是kallsyms_lookup_name这个函数能否可以被我们使用,能否在我们写的内核模块中导出。

这要看内核代码中是否有加入EXPORT_SYMBOL

EXPORT_SYMBOL标签内定义的函数或者符号对全部内核代码公开,
不用修改内核代码就可以在您的内核模块中直接调用,
即使用EXPORT_SYMBOL可以将一个函数以符号的方式导出给其他模块使用。

使用方法
第一、在模块函数定义之后使用EXPORT_SYMBOL(函数名)

最低0.47元/天 解锁文章
sunshineywz
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Unexporting kallsyms_lookup_name
Mr0cheng的专栏
03-16 1229
kallsyms_lookup_name函数可以通过函数名字获取对应的地址。unexporting kallsyms_lookup_name意味着out-of-tree的驱动不能够利用kallsyms_lookup_name函数调用未导出的内核函数。 unexporting kallsyms_lookup_name可能会造成的影响如下: live patch:live patch需要kallsy...
操作系统(内存管理)
09-20
在对内存块进行了 free 调用之后,我们需要做的是诸如将它们标记为未被使用的等事情,并且,在调用 malloc 时,我们要能够定位未被使用的内存块。因此, malloc 返回的每块内存的起始处首先要有这个结构: 清单 3...
linux内核模块包含函数,linux 内核模块链接过程
weixin_42651748的博客
04-30 179
原标题:linux 内核模块链接过程学无止境,一直在做内核开发,却从来没有仔细想过这个过程。因为所有的程序都有个编译,链接的过程。在linux内核模块中,我们可以使用很多内核export出的函数,来实现我们的功能,作为内核附属功能的扩展。但是这些export出来的函数在hook的时候是远远不够用的,所以我们往往还要获取一些没有export出来的函数。使用这些没有export出来的函数就要我们清楚的...
linux内核查找符号
faxiang1230的专栏
04-14 1727
从Linux内核的2.6某版本开始,内核引入了导出符号的机制,在内核中使用EXPORT_SYMBOL或EXPORT_SYMBOL_GPL导出的符号可以在其他内核模块中直接使用。但是并不是所有的符号都被导出了,这时候如果想要使用未导出的符号呢? 1.kallsyms_lookup_name读取 依赖于CONFIG_KALLSYMS,kallsyms_lookup_name在大多数情况下是被导出了,可...
内核查找符号指针函数kallsyms_lookup_name
yongjong的专栏
08-03 3457
openEuler linux kernel kallsyms_lookup_name
Linux内核未导出符号使用方法
qq_42931917的博客
08-19 6817
Linux内核未导出符号使用方法 一、背景 在写内核驱动程序的过程中,往往可以看到一些内核并没有被导出,而刚好在做开发的过程中需要用到,这个时候就要想办法使用内核未导出函数,但是处于linux内核代码段的函数,这里简单分享下怎么处理这些函数。 二、实例分析涉及函数 kallsyms_lookup_name() //内核函数原型,为导出函数,用于找到输入函数名所对应的函数入口地址 #include <linux/kallsyms.h> /* Lookup the address for this
kallsyms_lookup_name使用简介
microsko的专栏
11-25 2838
使用kallsyms_lookup_name函数,可以在内核态实现类似动态链接的功能,是的模块之间的依赖进一步解耦合。
Linux 内核函数kallsyms_lookup_name
最新发布
小立仔
08-25 1714
Linux 内核函数kallsyms_lookup_name 函数的使用以及其源码解析
Linux内核编程——进程内存窥探修改器(全网最详)
life_forwin的博客
03-07 2207
Linux内核编程——进程内存窥探修改器 文章目录Linux内核编程——进程内存窥探修改器关键词主要功能设计思路代码解读运行结果遇到的问题内容总结参考文献 关键词 内核模块法;带参数的系统调用;虚拟内存管理;虚拟地址映射为物理地址;私有内存的入侵读写; 主要功能 使用内核模块法向Linux内核增加两个系统调用系统调用号分别为335和336 。 335号系统调用:使用此系统调用能够读取任意进程的任意虚拟地址范围内的内容。 336号系统调用:使用此系统调用能够修改任意进程的任意虚拟地址范围内的内容。 两者都
LWN:不再export kallsyms_lookup_name()!
Linux News搬运工
03-16 3923
关注了就能看到更多这么棒的文章哦~Unexporting kallsyms_lookup_name()ByJonathan CorbetFebruar...
linux内核访问外设IO内存方法
04-30
详细介绍了LINUX如何访问外设IO内存方法,包括动态访问和静态映射
FTKernelAPI BT协议内核库及示例VC源代码
03-15
在兼容官方BitTorrent协议的同时针对国内的网络带宽状况进行了优化,增加了一个侦听端口支持多个任务同时运行, 文件选择下载,断点续传, 自动配置支持UPnP协议的路由器, 对于全局或者单个任务进行速度限制等功能。...
ftkernelapi.rar_FTKernelAPI_FTKernelAPI BT_UPNP_bt下载_断点 下载
09-23
在兼容官方BitTorrent协议的同时针对国内的网络带宽状况进行了优化,增加了一个侦听端口支持多个任务同时运行, 文件选择下载,断点续传, 自动配置支持UPnP协议的路由器, 对于全局或者单个任务进行速度限制等功能。...
linux0.11-simulation-:模拟一个简单程序运行时linux0.11对进程内存的处理方式
04-04
以linux0.11中进程内存系统调用相关的代码为核心,描述了某个简单程序在linux0.11运行时的操作序列。 ,计划,释放,内存的缺页和写保护异常等过程,也会涉及到文件系统相关的内容。 相关知识 -操作系统原理(80...
kernel-fuzzer-for-xen-project:Xen项目的VMI内核模糊器-VM分叉,VMI和AFL集成演示
03-20
使用此工具,您可以模糊ring-0(内核模式)和ring-3(用户模式)代码,包括使用系统调用从一个代码过渡到另一个代码。 在Xen上使用VM分叉进行模糊处理会限制您仅对不执行任何I / O操作的代码进行模糊处理
Centos 6.9版本kallsyms_lookup_name 未导出解决方法
LinuxBegin的博客
04-23 3592
调用kprobe机制去获取kallsyms_lookup_name函数地址,再通过函数指针获取系统调用表地址static int handler_pre(struct kprobe *p, struct pt_regs *regs){ return 0;}static struct kprobe kp = {   .symbol_name = "kallsyms_lookup_name",  };...
动态度量,内核获取代码段方式
mjfh095215的专栏
11-01 584
获得内核函数地址的四种方法 获得内核函数地址的四种方法 本文以获取内核函数 sys_open()的地址为例。 1)从System.map文件中直接得到地址: $grep sys_open /usr/src/linux/System.map 2)使用 nm 命令: $nm vmlinuz | grep sys_open 3)从 /proc/kallsyms 文件获得地址: $cat /proc/kallsyms | grep...
多种方法获取sys_call_table(linux系统调用表)的地址
热门推荐
Netfilter
05-28 1万+
<br />一.方法一:常用方式,也是一google一堆的方式<br />我们首先需要找到call table-with-offset的特征,先看下面的代码<br />syscall_call:<br />         call *sys_call_table(,%eax,4)<br /> 假设我们没有vmlinux可供gdb反汇编,那也只有采用模拟的方式了,模拟出一个call *sys_call_table(,%eax,4),然后看其机器码,然后在system_call的附近基于这个特征进行寻找
如何调试内核互斥锁问题
08-04
调试内核互斥锁问题方法有很多种,下面是一些常见的方法: 1. 在内核代码中加入 printk 语句来跟踪互斥锁的使用情况。 2. 使用内核调试工具,如 kgdb、kdb 和 kprobes。这些工具可以让你在内核中设置断点,并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值