linux内核有没有hook机制

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了linux内核有没有hook机制相关的知识,希望对你有一定的参考价值。

有啊,一切顺序逻辑,都有被hook的可能。 下面是一个linux上的hook的实例 

截获write系统调用:

#ifndef MODULE
#define MODULE
#endif
                                                                              
#ifndef __KERNEL__
#define __KERNEL__
#endif 
#include <linux/init.h>
#include <linux/module.h>
#include <linux/version.h>
#include <linux/kernel.h>
#include <asm/unistd.h>
#include <linux/slab.h>
/*
#include <sys/types.h>
#include <asm/fcntl.h>
#include <linux/malloc.h>
#include <linux/types.h>
#include <linux/string.h>
#include <linux/fs.h>
#include <asm/errno.h> 
#include <sys/syscall.h>
*/ 
MODULE_LICENSE("GPL");
struct descriptor_idt

        unsigned short offset_low;
        unsigned short ignore1;
        unsigned short ignore2;
        unsigned short offset_high;
;
static struct 
        unsigned short limit;
        unsigned long base;
__attribute__ ((packed)) idt48;
static unsigned int SYS_CALL_TABLE_ADDR;
void **sys_call_table;
int base_system_call;
int (*orig_write)(unsigned int fd,char *buf,unsigned int count);
unsigned char opcode_call[3]=0xff,0x14,0x85;
int match(unsigned char *source)

        int i;
        for(i=0;i<3;i++)
                if(source[i] != opcode_call[i])
                        return 0;
        
        return 1;

int get_sys_call_table(void)

        int i,j;
        unsigned char *ins=(unsigned char *)base_system_call;
        unsigned int sct;
                                                                              
        for(i=0;i<100;i++)
                if(ins[i]==opcode_call[0])
                        if(match(ins+i))
                                sct=*((unsigned int *)(ins+3+i));
                                printk(KERN_ALERT "sys_call_tabl\'s address is
0x%X\\n",sct);
                                return sct;
                        
                
        
                                                                              
        printk(KERN_ALERT "can\'t find the address of sys_call_table\\n");
        return -1;

int hacked_write(unsigned int fd,char *buf,unsigned int count)
 
 char *hide="hello";
 if(strstr(buf,hide)!=NULL)
  printk(KERN_ALERT "find name.\\n");
  return count;
 
 else
  return orig_write(fd,buf,count);
 

int init_module(void)

        __asm__ volatile ("sidt %0": "=m" (idt48));
        struct descriptor_idt *pIdt80 = (struct descriptor_idt *)(idt48.base + 8*0x80);
        base_system_call = (pIdt80->offset_high<<16 | pIdt80->offset_low);
        printk(KERN_ALERT "system_call address at 0x%x\\n",base_system_call);
 SYS_CALL_TABLE_ADDR=get_sys_call_table();
 sys_call_table=(void **)SYS_CALL_TABLE_ADDR;
 orig_write=sys_call_table[__NR_write];
 sys_call_table[__NR_write]=hacked_write;
        return 0;

void cleanup_module()

 sys_call_table[__NR_write]=orig_write;
参考技术A 有的呀,strace的作用不就是监控syscall么?linux为了调试等目的,设计了ptrace,你可以了解一下,现在安卓手机上的外挂, 很大一部分就是利用这个来实现的

以上是关于linux内核有没有hook机制的主要内容,如果未能解决你的问题,请参考以下文章

linux 内核Lockup机制浅析

Linux内核中的RCU机制

Linux 内核 tasklet 机制和工作队列zz

Linux 内核Linux 内核特性 ( 组织形式 | 进程调度 | 内核线程 | 多平台虚拟内存管理 | 虚拟文件系统 | 内核模块机制 | 定制系统调用 | 网络模块架构 )

Linux 内核的内存管理 - 概念

linux内核入门