内核调试和系统调用劫持

如何在不重新编译内核，不rmmod内核模块的情况下修改系统调用

为了解决这个问题，最终实现了两种解决方式：

1.Linux系统调用劫持

2.Kprobes内核调试技术（并非真正的修改）

下面分别说下：

Linux系统调用劫持：

其实就是修改内核符号表，来达到一个劫持的作用。因为系统调用实际上是触发了一个0x80的软中断，然后转到了系统调用处理程序的入口system_call()。system_call()会检查系统调用号来得出到底是调用哪种服务，然后会根据内核符号表跳转到所需要调用的内核函数的入口地址，所以，如果我们这个时候修改了内核符号表，使其跳转到我们自己的函数上，就可以完成劫持。

不过2.6之后，内核符号表便不再导出了，所以需要我们在内存中找到它的位置。具体查找的方式为：查找到中断向量表中的0x80中断服务函数的位置，然后在这个中断服务函数代码中查找根据内核符号表跳转的指令，从指令中可以分析出内核符号表的位置。

下面的是一个简单的劫持mkdir系统调用的测试，通过加载hook.ko内核模块，劫持mkdir系统调用，然后使用mkdir命令创建一个目录，来测试是否截齿成功。如果成功的话会输出“PID xxx called sys mkdir ！ By qiankun”。结果测试成功。下面是经过。



kprobes内核调试技术

首先声明两点：

1.这种方式其实并非修改，而是只是在运行的内核中动态的插入探测点，当内核运行到该探测点后可以执行用户预定义的回调函数。执行完毕后返回正常的执行流程。所以说他其实并非真正的修改了原有的系统调用。但是可以达到一定类似于修改了的效果，暂且算作一种“伪修改”吧。

2.我在测试的时候使用的是kprobes中的jprobe探测方式，其实其他的内核调试技术比如systemtap等应该能够实现这种功能，但是我就不一一实现了。

Kprobes是一个轻量级的内核调试工具，利用kprobes技术可以再运行的内核中动态的插入探测点，在探测点进行用户预定义的操作。

Kprobes使用主要可以分为三部分：

1.注册探测点部分。

2.调试处理部分。

3.注销探测点部分。

下面是使用kprobes中jprobe探测方式，对sys_open和sys_write进行添加探测点。这样可以一定程度上影响sys_open和sys_write的最后结果，达到类似修改的目的。下面是测试过程，可以看到，每当内核调用sys_write和sys_open的时候，都会先调用我们的探测函数。



代码如下：





来自为知笔记(Wiz)

附件列表