百度搜索到Hook Linux内核系统调用的方式,通过修改系统调用表syscall_table相应的地址,查找syscall_table的方式主要有3种:
- 通过查看/boot/System.map.*文件,从sys_close遍历到loops_per_jiffy来查找到syscall_table,代码如下:
unsigned long **find_sys_call_table(void) { unsigned long ptr; unsigned long *p; for (ptr = (unsigned long) sys_close; ptr < (unsigned long) &loops_per_jiffy; ptr += sizeof(void *)) { p = (unsigned long *) ptr; if (p[__NR_close] == (unsigned long) sys_close) { return (unsigned long **) p; } } return NULL; }
可能会有人会问,为什么是sys_close和loops_per_jiffy?这需要结合另外一个文件/lib/modules/3.10.0-123.el7.x86_64/build/Module.symvers,这个文件是用于驱动编译链接时,里面记录的是内核导出的符号(函数或变量)。在System.map中可以知道sys_call_table的地址处于sys_close 和loops_per_jiffy之间,而由于类似sys_open的其它函数并未导出,所以才选用sys_close 和loops_per_jiffy。
-
可以使用/boot/System.map.*中sys_call_table的地址进行强制转换
-
使用汇编获取sys_call_table的地址
以上3种方式个人觉得都不是特别靠谱,容易出错,现给出一种搜索到的比较好的方式。调用系统内核函数kallsyms_lookup_name来查询sys_call_table的地址。如下代码:
#include <linux/init.h>
#include <linux/module.h>
#include <linux/syscalls.h>
#include <linux/kallsyms.h>
#include <linux/slab.h>
#include <linux/kern_levels.h>
#include <linux/gfp.h>
#include <asm/unistd.h>
#include <asm/paravirt.h>
/**************************************************************************/
//
/**************************************************************************/
MODULE_LICENSE("GPL");
void **syscall_table;
void **ia32_syscall_table;
// !!!!!
asmlinkage long (*old_sys_open)(const char __user *filename, int flags, umode_t mode);
asmlinkage long (*old_ia32_sys_open)(const char __user *filename, int flags, umode_t mode);
static void EnablePageWriting(void)
{
write_cr0(read_cr0() & (~0x10000));
}
static void DisablePageWriting(void)
{
write_cr0(read_cr0() | 0x10000);
}
static void print_sys_call_table(void)
{
unsigned int index = 0;
printk("sys_call_table:\n");
while(index < 32)
{
printk("%u : %16lx\n", index, (unsigned long)syscall_table[index]);
++index;
}
printk("ia32_sys_call_table:\n");
index = 0;
while(index < 32)
{
printk("%u : %16lx\n", index, (unsigned long)ia32_syscall_table[index]);
++index;
}
}
/**************************************************************************/
asmlinkage long my_sys_open( const char __user *filename, int flags, umode_t mode )
{
if ( NULL != strstr( filename, "test" ) )
{
printk("sys_open filename:%s\n", filename);
}
return old_sys_open(filename, flags, mode);
}
asmlinkage long my_ia32_sys_open( const char __user *filename, int flags, umode_t mode )
{
if ( NULL != strstr( filename, "test" ) )
{
printk("ia32_sys_open filename:%s\n", filename);
}
return old_ia32_sys_open(filename, flags, mode);
}
static int __init syscall_init(void)
{
printk(KERN_DEBUG "syscall_init...\n");
syscall_table = (void **) kallsyms_lookup_name("sys_call_table");
ia32_syscall_table = (void **)kallsyms_lookup_name("ia32_sys_call_table");
if (! syscall_table || !ia32_syscall_table)
{
printk(KERN_DEBUG "ERROR: Cannot find the system call table address.\n");
return -1;
}
printk(KERN_DEBUG "sys_call_table=%16lx. ia32_sys_call_table=%16lx\n", (unsigned long) syscall_table, (unsigned long)ia32_syscall_table);
print_sys_call_table();
EnablePageWriting();
old_sys_open = syscall_table[__NR_open];
syscall_table[__NR_open] = my_sys_open;
old_ia32_sys_open = ia32_syscall_table[5];
ia32_syscall_table[5] = my_ia32_sys_open;
DisablePageWriting();
return 0;
}
static void __exit syscall_release(void)
{
printk(KERN_DEBUG "syscall_release...\n");
EnablePageWriting();
syscall_table[__NR_open] = old_sys_open;
ia32_syscall_table[5] = old_ia32_sys_open;
DisablePageWriting();
}
/**************************************************************************/
//
/**************************************************************************/
module_init(syscall_init);
module_exit(syscall_release);
同时需要说明,在x64下还需要考虑hook x86的系统调用表ia32_sys_call_table。
# Makefile
obj-m:=hook_open.o
KERNELBUILD:=/lib/modules/$(shell uname -r)/build
default:
make -C $(KERNELBUILD) M=$(shell pwd) modules
clean:
rm -rf *.o *.ko *.mod.c .*.cmd *.markers *.order *.symvers .tmp_versions