Linux内核：系统调用挂钩示例

我正在尝试编写一些简单的测试代码，以作为钩住系统调用表的演示。

“ sys_call_table”在2.6中不再导出，因此我只是从System.map文件中获取地址，我可以看到它是正确的（在内存中查找我找到的地址，我可以看到指向该地址的指针系统调用）。

但是，当我尝试修改该表时，内核会给“ Oops”加上“无法处理虚拟地址c061e4f4上的内核分页请求”，然后机器会重新启动。

这是运行2.6.18-164.10.1.el5的CentOS 5.4。有某种保护措施还是我只有一个bug？我知道SELinux附带了它，我已经尝试过将其设置为宽松模式，但这并没有什么不同

这是我的代码：

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/moduleparam.h>
#include <linux/unistd.h>

void **sys_call_table;

asmlinkage int (*original_call) (const char*, int, int);

asmlinkage int our_sys_open(const char* file, int flags, int mode)
{
   printk("A file was opened\n");
   return original_call(file, flags, mode);
}

int init_module()
{
    // sys_call_table address in System.map
    sys_call_table = (void*)0xc061e4e0;
    original_call = sys_call_table[__NR_open];

    // Hook: Crashes here
    sys_call_table[__NR_open] = our_sys_open;
}

void cleanup_module()
{
   // Restore the original call
   sys_call_table[__NR_open] = original_call;
}

我终于找到了答案。

http://www.linuxforums.org/forum/linux-kernel/133982-cannot-modify-sys_call_table.html

在某些时候更改了内核，因此系统调用表是只读的。

密码朋克：

即使已经很晚了，但解决方案也可能使其他人感兴趣：在entry.S文件中，您将找到：代码：

.section .rodata,"a"
#include "syscall_table_32.S"

sys_call_table-> ReadOnly如果您想使用sys_call_table来“破解”，则必须编译新的内核。

该链接还有一个将存储器更改为可写的示例。

nasekomoe：

大家好。感谢您的答复。很久以前，我通过修改对内存页面的访问来解决了这个问题。我已经为我的上层代码实现了两个功能：

#include <asm/cacheflush.h>
#ifdef KERN_2_6_24
#include <asm/semaphore.h>
int set_page_rw(long unsigned int _addr)
{
    struct page *pg;
    pgprot_t prot;
    pg = virt_to_page(_addr);
    prot.pgprot = VM_READ | VM_WRITE;
    return change_page_attr(pg, 1, prot);
}

int set_page_ro(long unsigned int _addr)
{
    struct page *pg;
    pgprot_t prot;
    pg = virt_to_page(_addr);
    prot.pgprot = VM_READ;
    return change_page_attr(pg, 1, prot);
}

#else
#include <linux/semaphore.h>
int set_page_rw(long unsigned int _addr)
{
    return set_memory_rw(_addr, 1);
}

int set_page_ro(long unsigned int _addr)
{
    return set_memory_ro(_addr, 1);
}

#endif // KERN_2_6_24

这是对我有用的原始代码的修改版本。

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/moduleparam.h>
#include <linux/unistd.h>
#include <asm/semaphore.h>
#include <asm/cacheflush.h>

void **sys_call_table;

asmlinkage int (*original_call) (const char*, int, int);

asmlinkage int our_sys_open(const char* file, int flags, int mode)
{
   printk("A file was opened\n");
   return original_call(file, flags, mode);
}

int set_page_rw(long unsigned int _addr)
{
   struct page *pg;
   pgprot_t prot;
   pg = virt_to_page(_addr);
   prot.pgprot = VM_READ | VM_WRITE;
   return change_page_attr(pg, 1, prot);
}

int init_module()
{
    // sys_call_table address in System.map
    sys_call_table = (void*)0xc061e4e0;
    original_call = sys_call_table[__NR_open];

    set_page_rw(sys_call_table);
    sys_call_table[__NR_open] = our_sys_open;
}

void cleanup_module()
{
   // Restore the original call
   sys_call_table[__NR_open] = original_call;
}

感谢Stephen，您在这里的研究对我有所帮助。但是，我遇到了一些问题，因为我正在2.6.32内核上进行尝试，并且WARNING: at arch/x86/mm/pageattr.c:877 change_page_attr_set_clr+0x343/0x530() (Not tainted)随后出现内核OOPS，因为它们无法写入内存地址。

上述行上方的注释指出：

// People should not be passing in unaligned addresses

以下修改的代码有效：

int set_page_rw(long unsigned int _addr)
{
    return set_memory_rw(PAGE_ALIGN(_addr) - PAGE_SIZE, 1);
}

int set_page_ro(long unsigned int _addr)
{
    return set_memory_ro(PAGE_ALIGN(_addr) - PAGE_SIZE, 1);
}

请注意，在某些情况下，这实际上仍未将页面设置为读/写。在static_protections()内部调用的函数会在以下情况下set_memory_rw()删除_PAGE_RW标志：

• 在BIOS区域
• 地址在.rodata内部
• 设置CONFIG_DEBUG_RODATA并将内核设置为只读

我在调试后发现了这个问题，为什么在尝试修改内核函数的地址时仍然出现“无法处理内核分页请求”。最终，我可以自己找到地址的页表条目并将其手动设置为可写，从而解决了该问题。值得庆幸的是，该lookup_address()功能已在2.6.26+版本中导出。这是我为此编写的代码：

void set_addr_rw(unsigned long addr) {

    unsigned int level;
    pte_t *pte = lookup_address(addr, &level);

    if (pte->pte &~ _PAGE_RW) pte->pte |= _PAGE_RW;

}

void set_addr_ro(unsigned long addr) {

    unsigned int level;
    pte_t *pte = lookup_address(addr, &level);

    pte->pte = pte->pte &~_PAGE_RW;

}

最后，尽管Mark的答案在技术上是正确的，但在Xen中运行时会遇到问题。如果要禁用写保护，请使用读/写cr0功能。我像这样宏化它们：

#define GPF_DISABLE write_cr0(read_cr0() & (~ 0x10000))
#define GPF_ENABLE write_cr0(read_cr0() | 0x10000)

希望这对遇到这个问题的其他人有所帮助。

请注意，以下内容也可以代替使用change_page_attr起作用，并且不能折旧：

static void disable_page_protection(void) {

    unsigned long value;
    asm volatile("mov %%cr0,%0" : "=r" (value));
    if (value & 0x00010000) {
            value &= ~0x00010000;
            asm volatile("mov %0,%%cr0": : "r" (value));
    }
}

static void enable_page_protection(void) {

    unsigned long value;
    asm volatile("mov %%cr0,%0" : "=r" (value));
    if (!(value & 0x00010000)) {
            value |= 0x00010000;
            asm volatile("mov %0,%%cr0": : "r" (value));
    }
}

如果您使用的是3.4和更高版本的内核（它也可以与较早的内核一起使用，我没有对其进行测试），我建议您使用一种更聪明的方法来获取系统调用表位置。

例如

#include <linux/module.h>
#include <linux/kallsyms.h>

static unsigned long **p_sys_call_table;
/* Aquire system calls table address */
p_sys_call_table = (void *) kallsyms_lookup_name("sys_call_table");

而已。没有地址，它可以与我测试过的每个内核正常工作。

您可以通过模块使用未导出的内核功能的相同方法：

static int (*ref_access_remote_vm)(struct mm_struct *mm, unsigned long addr,
                void *buf, int len, int write);
ref_access_remote_vm = (void *)kallsyms_lookup_name("access_remote_vm");

请享用！