linux内核无打开文件函数,Linux使用内核模块添加系统调用的方法(无需编译内核)...

最新推荐文章于 2022-05-17 21:22:33 发布
最新推荐文章于 2022-05-17 21:22:33 发布
阅读量222 收藏
点赞数
文章标签: linux内核无打开文件函数

本文将介绍Linux使用内核模块添加系统调用(无需编译内核),思路就是修改映射在内存中的系统调用表,把一个空闲的系统调用表项指向自己写的模块中的函数,如果是已使用的表项,甚至可以实现系统调用劫持。

1、查看预留系统调用号

不同内核版本,文件位置有所不同,我们可以直接查找unistd_64.h文件,命令如下:

sudo find / -name unistd_64.h

fec60bceb1a670962373fa47f9d911c7.png

sudo cat /usr/src/linux-headers-5.3.0-40-generic/arch/x86/include/generated/uapi/asm/unistd_64.h

bf5ed978d60dc56c2512525a4a595cdd.png

其中找到系统调用号335空闲,我们选择此系统调用号来编写内核模块。

2、获取系统调用表 sys_call_table 的虚拟地址

方法一:使用/proc/kallsyms

kallsyms包含了kernel image和动态加载模块的符号表,包括内核中的函数符号(包括没有EXPORT_SYMBOL导出的符号)、全局变量(用EXPORT_SYMBOL导出的全局变量),函数如果被编译器内联(inline)或优化掉,则它在/proc/kallsyms有可能找不到。此方法由变量名获取虚拟地址使用如下命令:

sudo cat /proc/kallsyms | grep sys_call_table

4b9d644efbc5a1afdb6c3a18f9528b3b.png

可以看到系统调用表 sys_call_table 的虚拟地址为ffffffffac4002a0,通过R标志可以看出它是只读的。在代码中可以使用kallsyms_lookup_name()函数实现,具体使用方法请看内核模块代码。

方法二:使用System.map

System.map是一份内核符号表kernel symbol table,包含了内核中的变量名和函数名地址,在每次编译内核时,自动生成。由变量名获取虚拟地址使用如下命令:

sudo cat /boot/System.map-`uname -r` | grep sys_call_table

77315b1779e663e4d2627efbb76c9efd.png

可以看到系统调用表 sys_call_table 的虚拟地址为ffffffff820002a0,与方法一获得的虚拟地址不同,这是因为正在运行的内核可能和System.map不匹配,出现System.map does not match actual kernel,/proc/kallsyms中增加的函数符号是后来安装程序中引入的,而system.map仅仅是kenrel编译时生成的符号表,所以/proc/kallsyms才是参考的主要来源,一般通过/proc/kallsyms获得符号的地址。

方法三:使用kallsyms_lookup_name()函数

具体用法见下面的程序。

3、内核模块代码

为了修改内存中的表项,还要修改寄存器写保护位。内核模块代码和详细注释如下,:

#include #include #include #include #include #include #include #include

#define __NR_syscall 335/* 系统调用号335 */unsigned long * sys_call_table;

unsigned int clear_and_return_cr0(void);

void setback_cr0(unsigned int val);

static int sys_mycall(void);

int orig_cr0;/* 用来存储cr0寄存器原来的值 */

unsigned long *sys_call_table = 0;

static int (*anything_saved)(void);/*定义一个函数指针,用来保存一个系统调用*/

/** 设置cr0寄存器的第17位为0*/

unsigned int clear_and_return_cr0(void)

{

unsigned int cr0 = 0;

unsigned int ret;

/* 前者用在32位系统。后者用在64位系统,本系统64位 */

//asm volatile ("movl %%cr0, %%eax" : "=a"(cr0)); asm volatile ("movq %%cr0, %%rax" : "=a"(cr0));/* 将cr0寄存器的值移动到rax寄存器中,同时输出到cr0变量中 */

ret = cr0;

cr0 &= 0xfffeffff;/* 将cr0变量值中的第17位清0,将修改后的值写入cr0寄存器 */

//asm volatile ("movl %%eax, %%cr0" :: "a"(cr0));asm volatile ("movq %%rax, %%cr0" :: "a"(cr0));/* 读取cr0的值到rax寄存器,再将rax寄存器的值放入cr0中 */

return ret;

}

/* 读取val的值到rax寄存器,再将rax寄存器的值放入cr0中 */

void setback_cr0(unsigned int val)

{

//asm volatile ("movl %%eax, %%cr0" :: "a"(val));asm volatile ("movq %%rax, %%cr0" :: "a"(val));

}

/* 添加自己的系统调用函数 */

static int sys_mycall(void)

{

int ret = 12345;

printk("My syscall is successful!\n");

return ret;

}

/*模块的初始化函数,模块的入口函数,加载模块*/

static int __init init_addsyscall(void)

{

printk("My syscall is starting。。。\n");

sys_call_table = (unsigned long *)kallsyms_lookup_name("sys_call_table");/* 获取系统调用服务首地址 */

printk("sys_call_table: 0x%p\n", sys_call_table);

anything_saved = (int(*)(void))(sys_call_table[__NR_syscall]);/* 保存原始系统调用 */

orig_cr0 = clear_and_return_cr0();/* 设置cr0可更改 */

sys_call_table[__NR_syscall] = (unsigned long)&sys_mycall;/* 更改原始的系统调用服务地址 */

setback_cr0(orig_cr0);/* 设置为原始的只读cr0 */

return 0;

}

/*出口函数,卸载模块*/

static void __exit exit_addsyscall(void)

{

orig_cr0 = clear_and_return_cr0();/* 设置cr0中对sys_call_table的更改权限 */

sys_call_table[__NR_syscall] = (unsigned long)anything_saved;/* 设置cr0可更改 */

setback_cr0(orig_cr0);/* 恢复原有的中断向量表中的函数指针的值 */

printk("My syscall exit....\n");/* 恢复原有的cr0的值 */

}

module_init(init_addsyscall);

module_exit(exit_addsyscall);

MODULE_LICENSE("GPL");

要注意,不同版本系统,所用的汇编语句不同,现在将用到的汇编语句总结如下:

常见寄存器:

|寄存器|16位|32位|64位|

|–|–|–|–|

|累加寄存器|AX|EAX|RAX|

|基址寄存器|BX|EBX|RBX|

|计数寄存器|CX|ECX|RCX|

|数据寄存器|DX|EDX|RDX|

|堆栈基指针|BP|EBP|RBP|

|变址寄存器|SI|ESI|RSI|

|堆栈顶指针|SP|ESP|RSP|

|指令寄存器|IP|EIP|RIP|

mov用法: movb(8位)、movw(16位)、movl(32位)、movq(64位)

| 寻址方式 | 举例 | 说明 |

| ———- | —————— | ———————————————————— |

| 寄存器寻址 | movl %eax, %edx | eax -> edx |

| 立即数寻址 | movl $0x123, %edx | 数字->寄存器 |

| 直接寻址 | movl 0x123, %edx | 直接访问内存地址数据,edx = (int32_t)0x123; |

| 间接寻址 | movl (%ebx), %edx | %ebx 是个内存地址,(%ebx)指的是该地址中的数据,edx = (int32_t)ebx; |

| 变址寻址 | movl 4(%ebx), %edx | edx = (int32_t)(ebx+4); |

4、Makefile文件

obj-m:=syscall.o

PWD:= $(shell pwd)

KERNELDIR:= /lib/modules/$(shell uname -r)/build

EXTRA_CFLAGS= -O0

all:

make -C $(KERNELDIR) M=$(PWD) modules

clean:

make -C $(KERNELDIR) M=$(PWD) clean

要注意添加EXTRA_CFLAGS= -O0关闭gcc优化选项,避免插入模块出错。

5、测试程序

#include #include int main(void)

{

printf("%d\n",syscall(335));

return 0;

}

6、运行结果

编译模块后插入内核,测试结果如下:

0c25adfe705d1b54781f50b95e6b0fd1.png

运行用户态测试程序,结果如下:

889029ae8d48aaf31a6581f1d1ff677e.png

查看系统日志,结果如下:

cc517d8db685ab5eea3c6f03f233925c.png

weixin_39636857
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux添加系统调用的两种方法 (通俗易懂 !)
m0_74282605的博客
08-02 1263
系统调用其实就是函数调用,只不过调用的是内核态的函数,但是我们知道,用户态是不能随意调用内核态的函数的,所以采用软中断的方式从用户态陷入到内核态。在内核中通过软中断0X80,系统会跳转到一个预设好的内核空间地址,它指向了系统调用处理程序(
基于C语言的Linux内核编译添加系统调用.zip
最新发布
10-26
系统调用的本质是调用内核函数,以内核态运行程序。为了在内核态下运行,本实验针对Linux内核进行修改,增加自定义系统调用函数实现用户态程序对任意进程的nice值进行修改或者读取来进行测试。详细介绍参考:...
手把手教你|拦截系统调用
嵌入式Linux
01-18 607
一、什么是系统调用系统调用内核提供给应用程序使用的功能函数,由于应用程序一般运行在用户态,处于用户态的进程有诸多限制(如不能进行 I/O 操作),所以有些功能必须由内核代劳完成。而内...
Linux内核系统调用劫持之kallsyms
bin_linux96的专栏
01-19 1557
1.通过kallsyms方式 基于Linux 5.0/Linux5.3 的X86-64系统. 1. 通过kallsyms_lookup_name查找sys_call_table地址. 2. 关闭写保护 3. 修改sys_call_table Linux5.0上直接调用write_cr0接口,能够顺利的修改CR0寄存器,而内核版本更新到Linux5.3以后,发现对CR0的修改进行了保护,所...
Linux如何动态添加新的系统调用
热门推荐
Netfilter
05-06 1万+
先来个满满的回忆: https://blog.csdn.net/dog250/article/details/6446192 2011年写这篇文章的时候,我的女儿小小还没有出生。 评价一下这篇文章,总体写得还不错,时间如白驹过隙,快十年过去了,今天我来旧事重提。 添加新的系统调用 ,这是一个老掉牙的话题。前段时间折腾Rootkit的时候,我有意避开类似HOOK劫持系统调用的话题,我主要是想来点新...
如何使用Linux内核中没有被导出的变量或函数
金荣的个人技术博客
12-15 1788
如何使用Linux内核中没有被EXPORT_SYMBOL宏导出的变量或函数? 我们拿代码举例,给出三种方法,给出验证。
一个LINUX的模块例子.rar_linux 文件系统_linux内核模块_内核模块
09-21
内核模块是独立的代码段,它们包含了特定的函数,这些函数在需要时由内核调用。它们通常用于设备驱动程序、文件系统或者其他需要与内核交互的功能。Linux内核模块的核心在于其可插入/可拔出性,使得系统可以根据需求...
Linux内核中增加一个系统调用.pdf
07-13
- **编译内核法**:直接修改内核源码,添加新的系统调用,然后重新编译内核。这种方法适用于对内核有深度修改的情况,但需要重启系统,且不适合频繁的系统调用更新。 - **内核模块法**:通过编写内核模块来插入新...
Linux内核模块与_proc文件系统.pdf
09-06
Linux 内核模块Linux 操作系统中的一种关键机制,它允许用户动态地修改内核、加载自己编写的程序,而不需要每次都编译内核。这种机制极大地改善了 Linux 的灵活性。 Linux 内核模块可以分为静态可加载模块和动态...
linux-kernel-Module.rar_linux内核模块
09-24
Linux内核模块Linux操作系统核心的一种可加载组件,它们提供了在内核运行时动态添加、修改或删除功能的能力。在本资源"linux-kernel-Module.rar"中,包含了一个关于Linux内核模块编程的实例,重点是展示如何利用...
linux内核模块包含函数,linux 内核模块链接过程
weixin_34668147的博客
04-30 288
原标题:linux 内核模块链接过程学无止境,一直在做内核开发,却从来没有仔细想过这个过程。因为所有的程序都有个编译,链接的过程。在linux内核模块中,我们可以使用很多内核export出的函数,来实现我们的功能,作为内核附属功能的扩展。但是这些export出来的函数在hook的时候是远远不够用的,所以我们往往还要获取一些没有export出来的函数使用这些没有export出来的函数就要我们清楚的...
Linux内核未导出符号使用方法
qq_42931917的博客
08-19 6907
Linux内核未导出符号使用方法 一、背景 在写内核驱动程序的过程中,往往可以看到一些内核并没有被导出,而刚好在做开发的过程中需要用到,这个时候就要想办法使用内核未导出函数,但是处于linux内核代码段的函数,这里简单分享下怎么处理这些函数。 二、实例分析涉及函数 kallsyms_lookup_name() //内核函数原型,为导出函数,用于找到输入函数名所对应的函数入口地址 #include <linux/kallsyms.h> /* Lookup the address for this
linux内核查找符号
faxiang1230的专栏
04-14 1771
Linux内核的2.6某版本开始,内核引入了导出符号的机制,在内核使用EXPORT_SYMBOL或EXPORT_SYMBOL_GPL导出的符号可以在其他内核模块中直接使用。但是并不是所有的符号都被导出了,这时候如果想要使用未导出的符号呢? 1.kallsyms_lookup_name读取 依赖于CONFIG_KALLSYMS,kallsyms_lookup_name在大多数情况下是被导出了,可...
Linux内核编程——进程内存窥探修改器(全网最详)
life_forwin的博客
03-07 2263
Linux内核编程——进程内存窥探修改器 文章目录Linux内核编程——进程内存窥探修改器关键词主要功能设计思路代码解读运行结果遇到的问题内容总结参考文献 关键词 内核模块法;带参数的系统调用;虚拟内存管理;虚拟地址映射为物理地址;私有内存的入侵读写; 主要功能 使用内核模块法向Linux内核增加两个系统调用系统调用号分别为335和336 。 335号系统调用使用系统调用能够读取任意进程的任意虚拟地址范围内的内容。 336号系统调用使用系统调用能够修改任意进程的任意虚拟地址范围内的内容。 两者都
使用内核模块添加系统调用
weixin_46048542的博客
03-03 1279
以下内容转载于 https://www.cnblogs.com/hello-underworld/p/14589102.html https://blog.csdn.net/thugkd/article/details/50117125 https://www.pianshen.com/article/3605500050/ 推荐 https://www.cnblogs.com/wangzahngjun/p/4992045.html 1,为什么要使用内核模块的方式添加系统调用? 1.1,编译内核的方式费时
Linux 抓取sys_call_table地址
qq_42931917的博客
09-10 1923
本文主要介绍三种方法抓取sys_call_table的地址 方法一:以sys_close为参考,遍历内存 方法二:直接抓/proc/kallsyms 方法三:调用函数kallsyms_lookup_name(“sys_call_table”) #include <linux/module.h> #include <linux/fs.h> #include <linux/syscalls.h> #include <linux/kallsyms.h> MODULE
unistd_64.h
RToax
03-21 898
linux-4.20.11 unistd_64.h arch\sh\include\uapi\asm 11951 2/20/2019 /* SPDX-License-Identifier: GPL-2.0 WITH Linux-syscall-note */ #ifndef __ASM_SH_UNISTD_64_H #define __ASM_SH_UNISTD_...
linux利用内核编译法和模块添加添加系统调用
JiangKangbo的博客
05-17 2101
本文为本人大三下学期linux实验课程所写,如有不妥之处欢迎前辈们批评指正 系统:ubantu20.04 在开始实验之前请确保你的ubantu分区大小达到50G以上,可用空间在25G以上。 (1)查看系统内核版本 开发之前首先得确定系统内核版本是哪一个,可以通过apt-cache search linux-source来查看。(2)安装内核版本源码 可以使用apt-get install linux-source-5.4.0下载相应版本的内核源码,下载后被存放在/usr/src下。
Centos 6.9版本kallsyms_lookup_name 未导出解决方法
LinuxBegin的博客
04-23 3613
调用kprobe机制去获取kallsyms_lookup_name函数地址,再通过函数指针获取系统调用表地址static int handler_pre(struct kprobe *p, struct pt_regs *regs){ return 0;}static struct kprobe kp = {   .symbol_name = "kallsyms_lookup_name",  };...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值