我正在尝试编写一些简单的测试代码,以作为钩住系统调用表的演示。
“ sys_call_table”在2.6中不再导出,因此我只是从System.map文件中获取地址,我可以看到它是正确的(在内存中查找我找到的地址,我可以看到指向该地址的指针系统调用)。
但是,当我尝试修改该表时,内核会给“ Oops”加上“无法处理虚拟地址c061e4f4上的内核分页请求”,然后机器会重新启动。
这是运行2.6.18-164.10.1.el5的CentOS 5.4。有某种保护措施还是我只有一个bug?我知道SELinux附带了它,我已经尝试过将其设置为宽松模式,但这并没有什么不同
这是我的代码:
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/moduleparam.h>
#include <linux/unistd.h>
void **sys_call_table;
asmlinkage int (*original_call) (const char*, int, int);
asmlinkage int our_sys_open(const char* file, int flags, int mode)
{
printk("A file was opened\n");
return original_call(file, flags, mode);
}
int init_module()
{
// sys_call_table address in System.map
sys_call_table = (void*)0xc061e4e0;
original_call = sys_call_table[__NR_open];
// Hook: Crashes here
sys_call_table[__NR_open] = our_sys_open;
}
void cleanup_module()
{
// Restore the original call
sys_call_table[__NR_open] = original_call;
}
LD_PRELOAD
或ptrace
?他们不满足您的尝试吗?