Linux内核模块编程-系统调用拦截

最新推荐文章于 2024-06-18 09:46:39 发布
最新推荐文章于 2024-06-18 09:46:39 发布
阅读量4.6k 收藏 13
点赞数 3
分类专栏: linux内核基础 Linux内核模块编程入门 文章标签: linux kernel 编程 系统调用切换
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangyifei216/article/details/49872861
版权
本文详细介绍了如何在Linux内核2.6.32-431.el6.x86_64上实现系统调用拦截。通过分析系统调用的工作原理,特别是sys_call_table的作用,以及解决其不可直接访问和只读属性的问题。通过查找符号表获取sys_call_table地址,并修改内存页属性使之可写,然后在模块加载和卸载时分别替换和恢复系统调用,以达到拦截目的。文中以mkdir系统调用为例进行了具体操作演示。
摘要由CSDN通过智能技术生成

系统调用拦截

本文实验基于Centos6.5 内核版本2.6.32-431.el6.x86_64,系统调用拦截的目的其实就是把系统真正要执行的系统调用替换为我们自己写的内核函数。

系统调用拦截的实现

那么如何去实现系统调用拦截呢,通过学习系统调用的内核实现我们发现其实系统调用的地址是放在sys_call_table中通过系统调用号定位到具体的系统调用地址,然后开始调用,那么通过编写内核模块来修改sys_call_table中指定系统调用的地址,其实就可以实现系统调用拦截的功能,这种方案在早期是很容易做到的,但是现在的内核做了一定的变动将sys_call_table没有导出,也就是说无法在内核模块中直接使用sys_call_table,还有一点就是sys_call_table所在内存页是只读的,无法进行修改。因此要想实现系统调用拦截需要解决上面的两个问题。对于第一个问题,sys_call_table地址的问题,可以通过内核生成的符号表找到其地址,然后进行更改。对于第二个问题,修改内存页的属性,让其变为可写。

代码分析

要添加的头文件,这里添加的头文件可能有些没有用到,但是却引入了,有兴趣的读者可以进行修改。

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/init.h>
//编写内核模块所需要的一些头文件,比如模块注册和注销的宏等
#include <linux/sched.h>
#include <linux/fs.h>
#include <linux/file.h>
#include <linux/fs_struct.h>
#include <linux/fdtable.h>
#include <linux/string.h>
#include <linux/mm.h>
#include <linux/syscalls.h>
#include <linux/list.h>
#include <linux/jiffies.h>
#include <linux/cdev.h>
#include <asm/unistd.h>
#include <
最低0.47元/天 解锁文章
zhangyifei216
关注
专栏目录
拦截系统调用
09-13 3103
今天在ubuntu中玩了下“拦截系统调用”,记录下自己对整个实现的理解。 原理 在linux kernel中,系统调用都放在一个叫做“sys_call_table”的分配表里面,在进入一个系统调用的最后一步,会调用与eax中包含的系统调用号对应的特定服务例程: call *sys_call_table(,%eax,4) 因为分派表中的每个表项占4个字节,因此首先把系统调用号乘以
linux系统调用拦截Centos7.6(三)の内核调用拦截
新火燎塬的博客
11-07 603
执行rmmod hello 卸载模块。cd /opt/hello 目录。
linux x86系统调用拦截
Idle_Cloud的专栏
07-04 1357
原地址: http://blog.chinaunix.net/uid-8350672-id-2031689.html   /*以苏师姐给的程序说明*/ 一、步骤概览: 编写系统调用服务例程——>添加系统调用号——>修改系统调用表——>重新编译内核并测试新添加的系统调用。    如果重新编译内核的话需要很长的时间,我们可以将系统调用服务例程作为模块加载进内核。当然
LWN:非特权容器中的系统调用拦截机制!
Linux News搬运工
07-13 493
关注了就能看到更多这么棒的文章哦~System call interception for unprivileged containersBy Jake EdgeJune 29, 2022LSSNADeepL assisted translationhttps://lwn.net/Articles/899281/在德克萨斯州奥斯汀举行的 2022 年北美 Linux 安全...
[译] 玩转ptrace (一)
weixin_34360651的博客
12-16 223
[本文翻译自这里:http://www.linuxjournal.com/article/6100?page=0,0,作者:Pradeep Padaia] 你是否曾经想过怎样才能拦截系统调用?你是否曾经想过通过修改一下系统调用的参数来耍一把内核?你是否想过调试器是怎样把一个进程停下来,然后把控制权转移给你的?如果你以为这些都是通过复杂的内核编程来实现的,那你就错了,事实上,Linux 提...
基于Linux内核2.6的进程拦截机制的研究和实现.pdf
09-06
本文主要探讨如何在Linux内核2.6的基础上研究和实现进程拦截机制,从而提高系统的安全性。 首先,我们需要理解Linux内核的工作原理。Linux内核负责调度和管理系统的所有进程,包括创建、执行以及在内核空间中的运行...
Ubuntu18.04+Linux5.6.12简易添加系统调用内核模块以及一个综合实验。
maweijian1999的博客
06-15 870
一、写在前面的话。 本文的实现主要参考了https://www.stolaf.edu/people/rab/os/lab/newsyscall.html的实验指导书以及西安邮电大学陈莉君老师的在学堂在线上的《Linux内核分析与应用》课程中1.5以及6.3的实验视频演示。其中,Rab老师的实验指导书对于系统调用有着浅显易懂的讲解,而陈莉君老师的课程视频则是手把手教会了我如何添加一个内核模块以及综合的实验。 此外,就我个人的经验而言,我觉得还是至少在虚拟机,甚至在购买的云服务器上实现这个实验比较好。因为我之前
Linux操作系统中如何截获系统调用
08-02
需要注意的是,这种操作通常涉及编写Linux内核模块(LKM),因为直接修改内核数据结构在用户空间是不允许的。LKM允许你在内核上下文中执行代码,并且可以在加载和卸载时动改变系统调用表。编写内核模块时,需要...
Linux内核编程 -- 从HelloWord到基于NetFilter的Linux驱动Demo
Solinzon
12-19 2768
基于Linux Ubuntu 1.安装内核头文件1.1查看Linux内核版本usname -r 1.2安装Linux内核头文件sudo apt-get install linux-headers-`uname -r` 默认安装目录:/lib/modules/"内核版本号" 2.编写HelloWord2.1 编写hello.c随便进入一个目录, 使用:touch hello.c 新建
手把手教你拦截Linux系统调用
极客重生
01-13 970
一、什么是系统调用系统调用内核提供给应用程序使用的功能函数,由于应用程序一般运行在用户,处于用户的进程有诸多限制(如不能进行 I/O 操作),所以有些功能必须由内核代劳完成。而内...
探秘Linux PTrace:系统调用拦截与模拟实践
最新发布
gitblog_00073的博客
06-18 423
探秘Linux PTrace:系统调用拦截与模拟实践 ptrace-examplesExamples for Linux ptrace(2)项目地址:https://gitcode.com/gh_mirrors/pt/ptrace-examples 项目介绍 在深入探讨技术细节之前,让我们先了解一下Linux PTrace examples项目。这个开源项目提供了一组示例代码,旨在帮助开发者理...
linux 库函数拦截,如何使用net_dev_add()API过滤和拦截Linux数据包?
weixin_33488806的博客
05-11 144
您正在使您的模块处理所有以太网数据包. Linux将向所有匹配的协议处理程序发送数据包.由于IP已在您的内核中注册,因此您的模块和ip_rcv都将接收所有带有IP头的SKB.如果不更改内核代码,则无法更改此行为.一种可能性是创建一个netfilter模块.这样,您可以在ip_rcv函数之后拦截数据包,并在需要时删除它(在Netfilters PREROUTING挂钩中).这是一个小的Netfilt...
linux lsm实现进程白名单,基于LSM与系统调用拦截相配合的可信计算实现系统及方法与流程...
weixin_30789921的博客
05-09 773
技术特征:1.一种基于LSM与系统调用拦截相配合的可信计算实现系统,其特征在于,包括:内核模块、用户服务模块和界面模块;其中,所述内核模块处于操作系统内核,用于采用LSM与系统调用的方法,拦截操作系统动作,包括启动程序和文件读写操作,还用于根据用户服务模块的决策内容执行允许或禁止操作;用户服务模块位于操作系统的用户,用于对所拦截的客体进行度量和决策,确定是阻止还是放行该客体;界面模...
linux劫持系统调用隐藏进程,Linux 2.6 劫持系统调用 隐藏进程
weixin_39962341的博客
04-30 307
一、原理Intel x86系列微机支持256种中断,为了使处理器比较容易地识别每种中断源,把它们从0~256编号,即赋予一个中断类型码n,Intel把它称作中断向量。而Linux中的系统调用使用的是128号,即0x80号中断,所有的系统调用都是通过唯一的入口system_call()来进入内核,当用户动进程执行一条int 0x80汇编指令时,CPU就切换内核,并开始执行system_call...
linux文件系统拦截,Linux下,文件系统限制
weixin_36438124的博客
05-12 211
http://www.linuxsir.org/main/?q=node/115http://www.linuxsir.org/bbs/archive/index.php/t-210564.htmlExt2Ext2 文件系统Linux 特有的文件系统,它拥有传统UNIX 文件系统的许多特性,如块、inode和目录等概念。Ext2 非常健壮,具有很多优良的性能。同时,Ext2 也是可扩展的,它提供...
linux操作系统中如何截获系统调用
robinshaw的专栏
07-20 1422
linux操作系统中如何截获系统调用 作者: Luster 出处: LinuxAid 责任编辑: 原野 [ 2005-06-27 15:04 ]
系统调用Linux
weixin_57133901的博客
12-21 830
用户: 运行用户程序内核:运行操作系统程序,操作硬件简单来说,低权限的资源范围较小,高权限的资源范围更大。
手把手教你|拦截系统调用
嵌入式Linux
01-18 646
一、什么是系统调用系统调用内核提供给应用程序使用的功能函数,由于应用程序一般运行在用户,处于用户的进程有诸多限制(如不能进行 I/O 操作),所以有些功能必须由内核代劳完成。而内...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值