截获linux系统调用

最新推荐文章于 2019-05-14 12:20:00 发布
最新推荐文章于 2019-05-14 12:20:00 发布
阅读量78 收藏
点赞数
原文链接:http://www.cnblogs.com/yunnotes/archive/2013/04/19/3032454.html
版权

方法1:修改系统调用表(适用于linux-2.4内核)

内核使用sys_call_table数组来存储系统调用表,将系统调用号与系统调用处理函数对应起来,通过修改sys_call_table数组的某一个元素,即可实现截获系统调用的功能,在2.4内核中,sys_call_table符号是被导出的,外部模块可以使用,故能简单的实现截获系统调用,在加载模块时,修改sys_call_table的处理函数,并保存其原来的值,在卸载模块时,还原其处理函数。

2.6内核中,由于sys_call_table符号不可见,网上有介绍在内存中查找sys_call_table地址的方法,不过比较复杂,尚未弄清其原理。

方法2:通过修改VFS操作表

该方法只能截获vfs相关的系统调用,通过修改file_operationsinode_operations的成员操作函数来实现,代码如下所示:

#include <linux/sched.h>
#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/init.h>
#include <linux/fs.h>
#include <linux/file.h>

MODULE_LICENSE("GPL");

char *root_fs="/";

typedef int (*readdir_t)(struct file *,void *,filldir_t);
readdir_t orig_root_readdir=NULL;

int myreaddir(struct file *fp,void *buf,filldir_t filldir)
{
       int r;
       printk("<1>You got me partner!\n");
       r=orig_root_readdir(fp,buf,filldir);
       return r;
}

int patch_vfs(const char *p,readdir_t *orig_readdir,readdir_t new_readdir)
{
       struct file *filep;
       filep=filp_open(p,O_RDONLY,0);
       if(IS_ERR(filep))
            return -1;
       if(orig_readdir)
            *orig_readdir=filep->f_op->readdir;

       filep->f_op->readdir=new_readdir;
       struct file_operations *fop = filep->f_op;
       fop->readdir = new_readdir;
       filep->f_op = fop;
       filp_close(filep,0);
       return 0;
}

int unpatch_vfs(const char *p,readdir_t orig_readdir)
{
       struct file *filep;
       filep=filp_open(p,O_RDONLY,0);
       if(IS_ERR(filep))
            return -1;
       filep->f_op->readdir=orig_readdir;
       struct file_operations *fop = filep->f_op;
       fop->readdir = orig_readdir;
       filep->f_op = fop;
       filp_close(filep,0);
       return 0;
}

static int patch_init(void)
{
       patch_vfs(root_fs,&orig_root_readdir,myreaddir);
       printk("<1>VFS is patched!\n");
       return 0;
}
static void patch_cleanup(void)
{
       unpatch_vfs(root_fs,orig_root_readdir);
       printk("<1>VFS is unpatched!\n");
}
module_init(patch_init);
module_exit(patch_cleanup);


以上模块在linux-2.6.19内核上编译不能通过,提示错误消息为:readdir成员为只读的,不能对其赋值(红色部分)。于是,我引入一个中间变量,来达到修改操作表的目的(将红色部分修改为蓝色部分)。

参考:http://hi.baidu.com/linzhangkun/blog/item/34fe208f268d37f3503d920d.html


转载于:https://www.cnblogs.com/yunnotes/archive/2013/04/19/3032454.html

weixin_30435261
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux操作系统中如何截获系统调用
joy
03-22 1645
Linux操作系统中如何截获系统调用 使用Linux Kernel Module的一般目的就是扩展系统的功能,或者给某些特殊的设备提供驱动等等。其实利用Linux内核模块我们还可以做一些比较“黑客”的事情,例如用来拦截系统调用,然后自己处理。嘿嘿,有意思的说。   下面给出一个简单的例子,说明了其基本的工作过程。  #de
著名的filemon,使用钩子截获控制windows下文件操作的不错源码
11-19
著名的filemon,使用钩子截获控制windows下文件操作的不错源码!!有助于我们详细了解hook 钩子的源码!钩子截获的全过程源码!
linux操作系统中如何截获系统调用
robinshaw的专栏
07-20 1412
linux操作系统中如何截获系统调用 作者: Luster 出处: LinuxAid 责任编辑: 原野 [ 2005-06-27 15:04 ]
截获或替换linux系统调用
计算机的自我意识
11-19 2120
直接上代码吧:      hello.c: #include /*Needed by all modules*/ #include /*Needed for KERN_* */ #include /* Needed for the macros */ #include //包含系统调用的相关定义和声明 //若要打印相关目录,则需要包含以下的头文件 #include #in
Linux系统下面如何截获系统调用
03-04
本文主要介绍如何在Linux系统下面如何截获系统调用,并详细介绍了源代码。
截获Linux操作系统异常处理
01-09
在某些情况下,我们可能需要去截获Linux操作系统的一些异常处理,比如截获page fault异常处理。  可以修改内核的情况下:  如果我们能够修改内核,那么截获page fault异常处理会非常简单。以linux 3.8.0内核为...
基于Linux系统的数据包截获技术研究.pdf
09-06
Linux系统中,数据包截获通常涉及到网络嗅探(Network Sniffing)和数据包过滤。本文主要探讨了基于Linux系统的数据包截获技术,包括其原理、常用工具及其实现方法。 1. 数据包截获原理 数据包截获的核心是利用...
一种基于Linux的程序行为异常检测系统的研究与开发.pdf
09-06
最后,LSM在系统调用或内核函数内部进行截获点的部署,获取了更加细粒度的信息。 4. LSM数据源的提取 LSM数据源的提取是通过security—operations结构体来完成的。该结构体定义位于security.h中,是一个hook函数的...
图形的保存和重绘
shark_tear的专栏
03-24 895
函数: SetScrollSizes() 进行滚动条的相关属性设置 OnInitialUpdate()该函数是在窗口创建完成之后第一个调用的函数。利用此函数进行窗口的初始化。 Create() Close()  PlayMetaFile()  DeleteMetaFile() 元文件操作函数。 CopyMetaFile() 将元文件的内容复制到指定的文件 知识点: 图形保存时的三要素:
Linux C编程之八 文件操作相关函数
weixin_30828379的博客
05-14 177
一、整体大纲 st_mode整体介绍: st_mode详细介绍: 二、Linux文件操作相关函数 1. stat 作用:获得文件信息,也可以获取文件大小。 头文件 #include <sys/types.h> #include <sys/stat.h> #include <unistd.h> 函数原型 ...
关于重绘的一点体会
TLP1993的博客
07-09 160
:shock: Java 中窗体打开时会进行自动重绘,所以如果你画在画布上的东西与初始化画布的代码写在一起的话,会出现你的“画画”闪了一下就不见了,或者根本就看不到。其实,只要你你写的东西是在窗体打开之后立即就“画画”,都会出现以上结果。 解决的办法之一是重写重绘方法,把你要画的内容写在重绘方法里面。但如果绘制的东西比较多,则会出现连续绘制几次的现象,看得很不顺眼。 另一个办法是为某种事...
分包合同计量单.docx
07-13
分包合同计量单.docx
树莓派简介PPT课件.ppt
07-13
树莓派简介PPT课件.ppt
项目债务盘点明细表.docx
07-13
项目债务盘点明细表.docx
全网最热Python3入门+进阶 更快上手实际开发
最新发布
07-13
网最热Python3入门+进阶 更快上手实际开发 第1章 Python入门导学.mp4 239.6MB 第9章 高级部分:面向对象 第8章 Python函数 第7章 包、模块、函数与变量作用域 第6章 分支、循环、条件与枚举 第5章 变量与运算符 第4章 Python中表示“组”的概念与定义 第3章 理解什么是写代码与Python的基本类型 第2章 Python环境安装 第1章 Python入门导学 第14章 Pythonic与Python杂记 第13章 实战:原生爬虫 第12章 函数式编程: 匿名函数、高阶函数、装饰器
linux截获数据包修改
04-11
你好,要修改Linux截取的数据包,请按下面的步骤进行操作: 1.使用截取数据包的工具,比如tcpdump或wireshark等; 2.截取想要修改的数据包; 3.使用hex编辑器打开该数据包; 4.修改你想要更改的数据,然后保存; 5....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值