Hook Linux内核系统调用

最新推荐文章于 2022-05-14 12:23:43 发布
最新推荐文章于 2022-05-14 12:23:43 发布
阅读量574 收藏
点赞数 1
分类专栏: Linux内核驱动 文章标签: linux 内核 sys_call_table
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiejianjun417/article/details/105418695
版权

百度搜索到Hook Linux内核系统调用的方式,通过修改系统调用表syscall_table相应的地址,查找syscall_table的方式主要有3种:

  1. 通过查看/boot/System.map.*文件,从sys_close遍历到loops_per_jiffy来查找到syscall_table,代码如下: 
    unsigned long **find_sys_call_table(void)
{
    unsigned long ptr;
    unsigned long *p;

    for (ptr = (unsigned long) sys_close; ptr < (unsigned long) &loops_per_jiffy; ptr += sizeof(void *))
    {

        p = (unsigned long *) ptr;

        if (p[__NR_close] == (unsigned long) sys_close)
        {
            return (unsigned long **) p;
        }
    }

    return NULL;
}

    可能会有人会问,为什么是sys_close和loops_per_jiffy?这需要结合另外一个文件/lib/modules/3.10.0-123.el7.x86_64/build/Module.symvers,这个文件是用于驱动编译链接时,里面记录的是内核导出的符号(函数或变量)。在System.map中可以知道sys_call_table的地址处于sys_close 和loops_per_jiffy之间,而由于类似sys_open的其它函数并未导出,所以才选用sys_close 和loops_per_jiffy。

  2. 可以使用/boot/System.map.*中sys_call_table的地址进行强制转换

  3. 使用汇编获取sys_call_table的地址

以上3种方式个人觉得都不是特别靠谱,容易出错,现给出一种搜索到的比较好的方式。调用系统内核函数kallsyms_lookup_name来查询sys_call_table的地址。如下代码:

#include <linux/init.h>
#include <linux/module.h>
#include <linux/syscalls.h>
#include <linux/kallsyms.h>
#include <linux/slab.h>
#include <linux/kern_levels.h>
#include <linux/gfp.h>
#include <asm/unistd.h>
#include <asm/paravirt.h>

/**************************************************************************/
//
/**************************************************************************/

MODULE_LICENSE("GPL");

void **syscall_table;

void **ia32_syscall_table;

// !!!!!
asmlinkage long  (*old_sys_open)(const char __user *filename, int flags, umode_t mode);
asmlinkage long  (*old_ia32_sys_open)(const char __user *filename, int flags, umode_t mode);

static void EnablePageWriting(void)
{
    write_cr0(read_cr0() & (~0x10000));
} 

static void DisablePageWriting(void)
{
    write_cr0(read_cr0() | 0x10000);
} 

static void print_sys_call_table(void)
{
    unsigned int index = 0;
    
    printk("sys_call_table:\n");
    while(index < 32)
    {
        printk("%u : %16lx\n", index, (unsigned long)syscall_table[index]);
        ++index;
    }
    printk("ia32_sys_call_table:\n");
    index = 0;
    while(index < 32)
    {
        printk("%u : %16lx\n", index, (unsigned long)ia32_syscall_table[index]);
        ++index;
    }
}

/**************************************************************************/
asmlinkage long my_sys_open( const char __user  *filename, int flags, umode_t mode )
{
    if ( NULL != strstr( filename, "test" ) )
    {
        printk("sys_open filename:%s\n", filename);
    }
    return old_sys_open(filename, flags, mode);
}

asmlinkage long my_ia32_sys_open( const char __user  *filename, int flags, umode_t mode )
{
    if ( NULL != strstr( filename, "test" ) )
    {
        printk("ia32_sys_open filename:%s\n", filename);
    }
    return old_ia32_sys_open(filename, flags, mode);
}

static int __init syscall_init(void)
{
    printk(KERN_DEBUG "syscall_init...\n");

    syscall_table = (void **) kallsyms_lookup_name("sys_call_table");
    ia32_syscall_table = (void **)kallsyms_lookup_name("ia32_sys_call_table");
    if (! syscall_table || !ia32_syscall_table)
    {
        printk(KERN_DEBUG "ERROR: Cannot find the system call table address.\n"); 
        return -1;
    }

    printk(KERN_DEBUG "sys_call_table=%16lx. ia32_sys_call_table=%16lx\n", (unsigned long) syscall_table, (unsigned long)ia32_syscall_table);

    print_sys_call_table();
    EnablePageWriting();

    old_sys_open = syscall_table[__NR_open];
    syscall_table[__NR_open] = my_sys_open;
    
    old_ia32_sys_open = ia32_syscall_table[5];
    ia32_syscall_table[5] = my_ia32_sys_open;
    
    DisablePageWriting();

    return 0;
}

static void __exit syscall_release(void)
{
    printk(KERN_DEBUG "syscall_release...\n");

    EnablePageWriting();

    syscall_table[__NR_open] = old_sys_open;
    ia32_syscall_table[5] = old_ia32_sys_open;

    DisablePageWriting();
}

/**************************************************************************/
//
/**************************************************************************/
module_init(syscall_init);
module_exit(syscall_release);

参考文章:https://stackoverflow.com/questions/59584277/linux-driver-development-hooking-open-syscall-leads-to-crash

同时需要说明,在x64下还需要考虑hook  x86的系统调用表ia32_sys_call_table。

# Makefile
obj-m:=hook_open.o  
KERNELBUILD:=/lib/modules/$(shell uname -r)/build 

default:
	make -C $(KERNELBUILD) M=$(shell pwd) modules

clean:
	rm -rf *.o *.ko *.mod.c .*.cmd *.markers *.order *.symvers .tmp_versions

 

叶之香
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kernel-module-syscall:拦截系统调用
02-21
系统调用拦截 在Linux上使用可加载的内核模块拦截系统调用的概念证明。 测试于:Linux debian 4.19.0-14-amd64#1 SMP Debian 4.19.171-2(2021-01-30)x86_64 GNU / Linux
Hook技术--③Linux系统调用劫持 hook
最新发布
一些个人笔记,写的不好,海涵
10-31 395
使用Makefile编译,insmod插入内核模块后,再执行ls时,就会进入到我们的系统调用,我们可以在hook代码中删掉某些文件,ls就不会显示这些文件,但是这些文件还是存在的。当用户态发起一个系统调用时,会通过80软中断进入到syscall hander,进而进入全局的系统调用sys_ call _table去查找具体的系统调用,那么。系统调用劫持的目的是改变系统中原有的系统调用,用我们自己的程序替换原有的系统调用。,系统调用表实际上是指针数组,下标是系统调用号,
linux监控命令执行,Linux渗透/Linux执行命令监控.md · GaoBooks/MiscSecNotes - Gitee.com
weixin_42513215的博客
04-29 358
原文 by [ysrc](https://mp.weixin.qq.com/s?__biz=MzI4MzI4MDg1NA==&mid=2247483953&idx=1&sn=1c34aba130041bc6f4c6afdaf19eb1c7&chksm=eb8c5688dcfbdf9eb69dcdfb852a1f54b2d6cd02b813dcd8986dbf6731...
Linux内核模块实现替换系统调用的简单例子
Linuxest
05-23 4879
本文提供一个替换open系统调用的样例代码,使用Linux内核模块实现。
linux系统调用的来龙去脉(下)
li_man_man_man的博客
05-14 1161
1.LINUX系统调用实现 linux系统调用分为3个部分:调用请求 ,响应请求 ,功能实现。 linux系统调用流程图如下: 系统调用提供给应用程序的接口为调用请求,调用请求中包含触发软中断的指令,应用程序使用调用请求后,处理器会产生一个中断,中断服务得到执行,中断服务根据调用号选择特定的功能函数去执行。 1.1调用请求 linux系统调用的第一部分是调用请求,调用请求作为系统调用提供给应用程序的接口,在linux系统调用的3部分中,应用程序只
linux内核hook系统调用execve函数
12-07
功能:hook系统调用execve函数,在系统调用dpkg命令时返回。 这样系统无法安装软件,以及删除软件。 1.下载后 解压直接 make编译 2. sudo insmod hook.ko 进行安装 3. sudo dmesg --follow 查看内核调试信息 4....
netfilter hook 注册,调用示例
08-17
Linux4.x内核编程实战——netfilter hook 注册,调用示例.nf_hook_ops,nf_register_net_hook, nf_unregister_net_hook 使用
uhook:uhook Linux 内核驱动
06-08
钩子uhook Linux kernel driver : 从用户空间调用内核函数1)。 什么是 uhook uhook(userspace kernel hook) 表示从用户空间调用内核函数。 也就是说,我们可以在内核空间写一个函数,在内核Image运行时在用户空间...
[ Linux Debian ] libmali安装包
02-04
libmali库是Chrome浏览器打开调用驱动底层的接口,与内核和Debian文件系统版本有关,该资料提供多个版本的安装包。
基于Linux 的防火墙技术研究
11-24
Linux 在其2.4 内核中内置了一个基于网络层解决方案的防火墙系统—Netfilter/Iptables,它使得 用户能够很方便地在网络边界定制对数据包的各种控制,如有状态或无状态的包过滤、各种类型的网 络地址转换、流量控制及...
全局键盘钩子SysHook
11-25
全局键盘钩子SysHook有使用说明,是个DLL
kmod_hooking:使用异常表进行内核函数挂钩
05-13
使用khook_X函数名称和typeof(X)作为原型来编写hook的主体 使用KHOOK_ORIGIN(X, args)宏作为X函数调用的包装器 用KHOOK_USAGE_INC(X)和KHOOK_USAGE_DEC(X)保护钩体 例子 #include <linux> // inode_permission() ...
vc++ 应用源码包_1
09-15
独立打包,保证可解压,内含大量源码,网上搜集而来。 Visual.C++编程技巧精选500例源代码 内含各种例子(vc下各种控件的使用方法、标题栏与菜单栏、工具栏与状态栏、图标与光标、程序窗口、程序控制、...调用系统自带...
vc++ 应用源码包_2
09-15
独立打包,保证可解压,内含大量源码,网上搜集而来。 Visual.C++编程技巧精选500例源代码 内含各种例子(vc下各种控件的使用方法、标题栏与菜单栏、工具栏与状态栏、图标与光标、程序窗口、程序控制、进程...调用系统...
vc++ 应用源码包_6
09-15
Linux内核完全注释附 MFC+消息循环贴图---金山毒霸界面 自绘控件实现。 MFCDemo DirectUI移植到MFC中实现。 MFCHtml 调用脚本 MFC使用COM加载WMI服务,另类获取系统服务详细 大家都知道,现在流行的检测硬件软件视...
linux lkm rootkit常用技巧
weixin_30625691的博客
06-12 278
简介 搜集一下linux lkm rootkit中常用的一些技巧 1、劫持系统调用 遍历地址空间 根据系统调用中的一些导出函数,比如sys_close的地址来寻找 unsigned long ** get_sys_call_table(void) { unsigned long **entry = (unsigned long **)PAGE_OFFSET; ...
linux内核sys_call_talbe hook案例(通讯录读取hook的教程)
nijian81的专栏
05-21 2267
最近在学习安卓goldfish的内核hook,把最近半个月的成果写个教程,供大家分享,希望大家不要走弯路。 关于源码下载、内核编译、动态插入内核等等再次不介绍了,可以参考其他的博客,里面写的很详细,在这里我主要介绍如何进行通讯录的调用hook: 应用环境:        本教程适用于,下载安卓模拟器的goldfish源码,然后自己编译运行,并且可以把虚拟机运行在上面。然后通过动态插入内核,可
Linux Hook方法
vspiders的博客
09-13 1133
linux hook是一个非常常见且成熟的技术,用户态Hook的方法有很多中,本次主要记录下LD_PRELOAD动态链接库劫持方法。 LD_PRELOAD是一个全局变量,linux程序在运行时会优先加载该路径变量下的动态链接库,因此我们只需要通过设置LD_PRELOAD加载我们编写的同名函数,后续的加载过程中就会忽略后面的同名函数,从而完成对系统库的劫持。 一般情况下linux动态加载库的顺序为LD_PRELOAD>LD_LIBRARY_PATH>/etc/ld.so.cache>/l
Linux x64 Hook系统调用
zzzpany的博客
06-30 1654
Linux x64 Hook系统调用 实验环境: Linux ubuntu 4.4.0-31-generic #50~14.04.1-Ubuntu 参考文档: https://blog.csdn.net/zuihaobushi/article/details/72729850 内核访问用户空间 https://www.cnblogs.com/arnoldlu/p/8879800....
linux hook 系统调用
06-28
Linux Hook 系统调用是指在 Linux 操作系统中,通过修改系统调用表来拦截和修改系统调用的行为。这种技术可以用于实现各种功能,如监控系统调用、实现安全策略、实现虚拟化等。Hook 系统调用的实现方式有多种,如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值