Centos5.5 IDT HOOK

最新推荐文章于 2020-09-05 15:12:33 发布
最新推荐文章于 2020-09-05 15:12:33 发布
阅读量269 收藏
点赞数
分类专栏: Linux操作系统 文章标签: centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013358112/article/details/73844604
版权

HOOK PageFault

    #include <linux/kernel.h>
    #include <linux/module.h>
    #include <asm/desc.h>

    typedef struct desc_struct gate_desc;

    struct desc_easy {
        unsigned short a;
        unsigned short b;
        unsigned short c;
        unsigned short d;
    } __attribute__((packed)) ;

    struct desc_ptr {
            unsigned short size;
            unsigned long address;
    } __attribute__((packed)) ;

    #define PGFAULT_INT 0x0E

    static unsigned long isr_orig;
    static unsigned long isr_new;
    static gate_desc *PF_gate;

    asmlinkage void my_function(void);

    void stub(void)
    {
        __asm__
        (
        "       pushal              \n"
        "       pushl %es           \n"
        "       pushl %ds           \n"
        "       call my_function    \n"
        "       popl %ds            \n"
        "       popl %es            \n"
        "       popal               \n"
        "       jmp  *isr_orig      \n"
        );
    }

    asmlinkage void my_function(void)
    {
        unsigned long add;
        asm("movl %%cr2,%0":"=r"(add));
        printk("PID: %d >> %08x\n",current->tgid,(unsigned int )add);
    }

    int pgfault_init( void )
    {
        struct desc_ptr idtr;
        gate_desc *idt_table;

        printk("+z+ pgfault_init\n");
        //获取IDT指针
        asm ("sidt %0" : "=m" (idtr));

        //page_fault_gate地址
        idt_table = ((gate_desc *) idtr.address);
        PF_gate = &idt_table[PGFAULT_INT];

        //保存原始的page_fault()地址
        isr_orig = (PF_gate->a & 0xffff) | (PF_gate->b & 0xffff0000);

        //把新的处理函数地址填充进去
        isr_new = (unsigned long)stub;
        ((struct desc_easy *) PF_gate)->a = (unsigned short) (isr_new & 0x0000FFFF);
        ((struct desc_easy *) PF_gate)->d = (unsigned short) (isr_new >> 16);

        return 0;
    }


    void pgfault_exit( void )
    {
        printk("+z+ pgfault_exit\n");
        //还原以前的page_fault地址
        ((struct desc_easy *) PF_gate)->a = (unsigned short) (isr_orig & 0x0000FFFF);
        ((struct desc_easy *) PF_gate)->d = (unsigned short) (isr_orig >> 16);
    }

    MODULE_LICENSE("GPL");
    module_init( pgfault_init);
    module_exit( pgfault_exit);
Guangzhe_Zhou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
简单的修改IDT,实现hook page_fault中断处理进程
warriorpaw的专栏
09-28 3005
一个想法的副产物,,, 参考 http://stackoverflow.com/questions/2497919/changing-the-interrupt-descriptor-table 不多说 就上代码算了。。。 Centos 5.5 编译测试通过 #include #include #include typedef struct desc_struct gat
做X64 shadow SSDT HOOK引擎那些事儿~~
落笔飞花笑百生的博客
09-23 2434
废话不多少 我做HOOK引擎遇到的事儿~~~ 先看一下代码 ,里面有详细地址 .text:FFFFF97FFF072744 NtUserGetForegroundWindow proc near     ; DATA XREF: .text:FFFFF97FFF0D20E0o .text:FFFFF97FFF072744                                 
detours, x86 kernel hook 以及 x64 kernel hook
基岩的专栏
02-28 1654
detours, x86 kernel hook 以及 x64 kernel hookhttp://bbs.driverdevelop.com/htm_data/92/0702/99096.html我假设读者已经非常熟悉detours,阅读此文只是为了增强对detours的理解以及为了实现x64 hook。有关detours原理部分不再多讲。X86 Kernel Hook早些年,我把det
关于HOOK KiPageFault需要用到自旋锁研究
09-10 286
KeAcquireSpinLockRaiseToDpc 可以使用这个函数 来开启自旋锁 转载于:https://www.cnblogs.com/kuangke/p/9621621.html
缺页异常(Page Faults) 和 Kernel Oops打印调用流程
u014426028的博客
09-05 3600
在Linux中,进程和内核都是通过页表PTE访问一个物理页面的,如果无法访问到正确的地址,将产生page fault(缺页异常)。 常见场景: 地址空间映射关系未建立 1.1:malloc/mmap申请虚拟的地址空间并未分配实际物理页,首次访问触发缺页异常。 地址空间映射关系已建立 2.1:要访问的页面已经被swapping到了磁盘,访问时触发缺页异常。 2.2:fork子进程时,子进程共享父进程的地址空间,写是触发缺页异常(COW技术)。 2.3:要访问的页面被KSM合并,写时触发...
Linux CentOS5.5 web配置
04-30
### Linux CentOS5.5 Web配置详解 #### 一、概述 在Linux CentOS5.5系统中进行Web配置是一项常见的任务,对于服务器管理和网站部署至关重要。本文将深入探讨CentOS5.5下的Web配置方法,包括基本配置、路径设置、...
CentOS 5.5下安装MySQL 5.5全过程分享
12-15
打开终端 切换到根目录 [shell@localhost ~]# su -安装Mysql5.5之前先卸载CentOS自带的Mysql5.0。 [root@localhost ~]# yum remove mysql 安装cmake 下载cmake源码包cmake-2.8.5.tar.gz [root@localhost ~]# wget ...
CentOS 5.5提权exp
03-20
CentOS 5.5提权exp
Centos5.5下Qt的安装配置
11-27
CentOS 5.5 下 Qt 的安装配置 在 CentOS 5.5 平台下安装 Qt 需要经过多个步骤,每个步骤都需要注意一些重要细节。本文将详细讲解 CentOS 5.5 下 Qt 的安装配置过程。 一、安装软件列表 在开始安装 Qt 之前,需要...
centos 5.5 mondo Rescue
03-12
CentOS 5.5 Mondo Rescue 离线包详解】 CentOS 5.5 Mondo Rescue 是一款强大的Linux系统备份与恢复工具,专为Linux环境设计,尤其适用于服务器和工作站。它允许用户在系统运行正常时创建完整的系统镜像,包括文件...
X64 HOOK IDT
落笔飞花笑百生的博客
11-06 3937
kd> dt nt!_KIDTENTRY64 @idtr + @@(sizeof(nt!_KIDTENTRY64))    +0x000 OffsetLow        : 0x44c0    +0x002 Selector         : 0x10    +0x004 IstIndex         : 0y000    +0x004 Reserved0        : 0y0
idt hook 隐藏hook idt
05-14 1292
#include "ntddk.h" #include "ntddk.h" #define WORD USHORT #define DWORD ULONG #define MAKELONG(a, b) ((LONG)(((WORD)(((DWORD_PTR)(a)) & 0xffff)) \ | ((DWORD)((WORD)(((DWORD_PTR)(b)) & 0xffff)
page fault带来的性能问题
weixin_34232744的博客
06-20 4627
Linux进程如何访问内存 Linux下,进程并不是直接访问物理内存,而是通过内存管理单元(MMU)来访问内存资源。 原因后面会讲到。 为什么需要虚拟内存地址空间 假设某个进程需要4MB的空间,内存假设是1MB的,如果进程直接使用物理地址,这个进程会因为内存不足跑不起来。 既然进程不是直接访问物理内存,那么进程中涉及的内存地址当然也不是物理内存地址。...
两种HOOK IDT方法
08-06 1769
IDT :就是系统中断表,是存放Windows的中断和异常的处理函数的表 IDT的数据结构:   typedef struct _IDTENTRY { unsigned short LowOffset; //处理函数的低2字节 unsigned short selector; //处理函数所在的段选择子 unsigned char retent...
hook idt
云淡风轻
12-03 1547
extern "C"{ #include } typedef unsigned int DWORD; typedef unsigned short WORD; typedef unsigned char BYTE; #pragma pack(1) typedef struct{ WORD IDTLimit; DWORD IDTBase; }IDTR; typedef struct{ WOR
HOOK IDT频繁蓝屏(Window 正确 HOOK IDT)
11-12 286
环境 win7x64 Microsoft Windows [版本 6.1.7601]也是一个朋友 HOOK IDT 测试 问我IDT为啥老是蓝屏。结果是因为swapgs问题。 如果你知道swapgs作用。或者 在IDT swapgs起到的作用 就不用往下看了。 给我朋友解释了 结果他还是不理解。。。所以写个文章吧。 希望可以帮到其他朋友 我们先来分析下IDT的函数开发 图1...
64位系统下的IDTR与IDT表项
一个热爱逆向,喜爱学习、分享的猿。
05-08 4153
已有许多资料介绍32位系统下的IDTR内容与IDT表项格式,本文专门对64位(IA-32e模式)下IDTR的内容和IDT表项格式进行介绍。
Linux系统:page fault
03-22 9592
Linux进程如何访问内存 Linux下,进程并不是直接访问物理内存,而是通过内存管理单元(MMU)来访问内存资源。 原因后面会讲到。 为什么需要虚拟内存地址空间 假设某个进程需要4MB的空间,内存假设是1MB的,如果进程直接使用物理地址,这个进程会因为内存不足跑不起来。 既然进程不是直接访问物理内存,那么进程中涉及的内存地址当然也不是物理内存地址。 而是虚拟的内存地址,虚拟的内存地址和物理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值