linux内核中的hook,【Linux内核调试】使用Ftrace来Hook linux内核函数

目标：hook几个Linux内核函数调用，如打开文件和启动进程，并利用它来启用系统活动监控并抢先阻止可疑进程。

一、方案比较

1. 使用Linux安全API

方法：内核代码的关键点包含安全函数调用，这些调用可能触发安全模块安装的回调，该模块可以分析特定操作的上下文，并决定是允许还是禁止它。

限制：安全模块无法动态加载，所以需要重新编译内核。

2. 修改系统调用表

方法：所有Linux系统调用处理程序都存储在sys_call_table表中，可以保存旧的处理程序值，并将自己的处理程序添加到表中，这样就能hook任何系统调用。

优点：一是能够完全控制所有系统调用；二是性能开销较小，包含更新系统调用表、监视、调用原始系统调用处理程序；三是通用性较好，不依赖内核版本。

缺点：一是实现较复杂，需查看系统调用表、绕过内存写保护、确保处理程序的安全性；二是有些处理程序无法替换，如有些优化要求在汇编中实现系统调用处理程序；三是只能hook系统调用，限制了入口点。

3.Kprobes

方法：可以为任何内核指令、函数入口和函数返回点安装处理程序，处理程序可以访问寄存器并更改它们。

优点：一是API很成熟；二是能跟踪内核中任意点，kprobes通过在内核代码中嵌入断点(int3指令)实现。跟踪函数内部的特定指令很有用。

缺点：一是技术复杂，若要获取函数参数或局部变量值，需知道堆栈具体位置及所在寄存器，并手动取出，若要阻止函数调用，还需手动修改进程状态；二是开销太大，超过了修改系统调用表的成本；三是禁用抢占，kprobes基于中断和故障，所以为了执行同步，所有处理程序需以禁用的抢占方式执行，导致的限制是，处理程序中不能等待、分配大量内存、处理输入输出、在信号量和计时器中休眠。

4.拼接

方法：将函数开头的指令替换为通向处理程序的无条件跳转，处理完成后再执行原始指令，再跳回截断函数前执行。类似于kprobes。

优点：一是不需要设置内核编译选项，可在任何函数开头实现；二是开销低，两次跳转即可返回到原始点。

缺点：技术复杂。

同步挂钩安装和删除(如果在更换指令期间调用了该函数)

使用可执行代码绕过内存区域的写保护

替换指令后使CPU缓存失效

拆卸已替换的指令，以便将它们作为一个整体进行复制

检查替换后的函数是否没有跳转

检查替换后的函数是否可以移动到其他位置

二、使用Ftrace hook函数