在linux操作係統中如何截獲係統調用(頁 1) - Linux系統交流 - EXWOLF討論區 |手機|遊戲|BT

wolf 發表於 2008-1-6 18:36

在linux操作係統中如何截獲係統調用

使用LinuxKernelModule的一般目的就是擴展係統的功能，或者給某些特殊的設備提供驅動等等。其實利用Linux內核模塊我們還可以做一些比較“黑客”的事情，例如用來攔截係統調用，然後自己處理。嘿嘿，有意思的說。

下面給出一個簡單的例子，說明了其基本的工作過程。
　

[table=95%][tr][td][color=#ff0000]以下為引用的內容：[/color]
　　#defineMODULE
　　#define__KERNEL__
　　#include<linux/module.h>
　　#include<linux/kernel.h>
　　#include<asm/unistd.h>
　　#include<sys/syscall.h>
　　#include<linux/types.h>
　　#include<linux/dirent.h>
　　#include<linux/string.h>
　　#include<linux/fs.h>
　　#include<linux/malloc.h>
　　externvoid*sys_call_table[];/*sys_call_tableisexported,sowecanaccessit*/
　　int(*orig_mkdir)(constchar*path);/*theoriginalsystemcall*/
　　inthacked_mkdir(constchar*path)
　　{
　　return0;/*everythingisok,buthenewsystemcall
　　doesnothing*/
　　}
　　intinit_module(void)/*modulesetup*/
　　{
　　orig_mkdir=sys_call_table[SYS_mkdir];
　　sys_call_table[SYS_mkdir]=hacked_mkdir;
　　return0;
　　}
　　voidcleanup_module(void)/*moduleshutdown*/
　　{
　　sys_call_table[SYS_mkdir]=orig_mkdir;/*setmkdirsyscalltotheorigal
　　one*/
　　}[/td][/tr][/table]
　　
大家看到前面的代碼了，非常簡單，我們就是替換了內核的係統調用數組中我們關心的指針的值，係統調用在內核中實際就是一個數組列表指針對應的函數列表。我們通過替換我們想“黑”的函數的指針，就可以達到我們特定的目的。這個例子中我們替換了“mkdir”這個函數。這樣，用戶的應用程序如果調用mkdir後，當內核響應的時候，實際上是調用我們“黑”了的函數，而我們實現的函數裏面是什么都沒有幹，所以這裏會導致用戶運行 “mkdir”得不到結果。這個例子很簡單，但是我們可以看出，如果我們想截獲一個係統調用，那么我們只需要做以下的事情： [color=#f5fafe][/color] 1、查找出感興趣的係統調用在係統內核數組中的入口位置。可以參看include/sys/syscall.h文件。 [color=#f5fafe][/color]
2、將內核中原來的調用函數對應的指針sys_call_table[X]保留下來。 [color=#f5fafe][/color]
3、將我們新的偽造的係統函數指針給sys_call_table[X]。

頁: [1]

EXWOLF討論區's Archiver

在linux操作係統中如何截獲係統調用