今天在ubuntu中玩了下“拦截系统调用”,记录下自己对整个实现的理解。

原理

在linux kernel中,系统调用都放在一个叫做“sys_call_table”的分配表里面,在进入一个系统调用的最后一步,会调用与eax中包含的系统调用号对应的特定服务例程:

  1. call *sys_call_table(,%eax,4)

因为分派表中的每个表项占4个字节,因此首先把系统调用号乘以4,再加上sys_call_table分配表的起始地址,然后从从这个地址单元获取指向服务例程的指针,内核就找到了要调用的服务例程。我们只要修改对应的分配表项,即可实现系统调用的拦截。

获取sys_call_table的地址

网上介绍了很多种方法得到sys_call_table的地址,我使用了相对简单的一种方法——从内核导出的符号表中获取。

图中,十六进制数c15b3000即为sys_call_table的地址。同时,我们也得到了一个重要的信息,该符号对应的内存区域是只读的!

清除写保护

因为sys_call_table分配表的内存属性为只读,因此,我们要先清除对应地址的写保护。暂时使用了两种方法实现该目的:

第一种方法,修改cr0读写保护位:

  1. /* 清除写保护 */
  2. unsigned int clear_and_return_cr0(void)
  3. {
  4. unsigned int cr0 = 0;
  5. unsigned int ret;
  6. asm volatile ("movl %%cr0, %%eax"
  7. : "=a"(cr0)
  8. );
  9. ret = cr0;
  10. /* clear the 16 bit of CR0, a.k.a WP bit */
  11. cr0 &= 0xfffeffff;
  12. asm volatile ("movl %%eax, %%cr0"
  13. :
  14. : "a"(cr0)
  15. );
  16. return ret;
  17. }
  18. /* 设置cr0,--本程序用来恢复写保护 */
  19. void setback_cr0(unsigned int val)
  20. {
  21. asm volatile ("movl %%eax, %%cr0"
  22. :
  23. : "a"(val)
  24. );
  25. }

第二种方法,设置虚拟地址对应页表项的读写属性:

  1. /* make the page writable */
  2. int make_rw(unsigned long address)
  3. {
  4. unsigned int level;
  5. pte_t *pte = lookup_address(address, &level);
  6. if (pte->pte & ~_PAGE_RW)
  7. pte->pte |=  _PAGE_RW;
  8. return 0;
  9. }
  10. /* make the page write protected */
  11. int make_ro(unsigned long address)
  12. {
  13. unsigned int level;
  14. pte_t *pte = lookup_address(address, &level);
  15. pte->pte &= ~_PAGE_RW;
  16. return 0;
  17. }

附:完整代码

  1. #include <linux/module.h>
  2. #include <linux/kernel.h>
  3. #include <linux/init.h>
  4. #include <linux/sched.h>
  5. #include <linux/init.h>
  6. #include <linux/fs.h>
  7. #include <linux/file.h>
  8. #include <linux/fs_struct.h>
  9. #include <linux/fdtable.h>
  10. #include <linux/string.h>
  11. #include <linux/mm.h>
  12. #include <linux/syscalls.h>
  13. #include <linux/list.h>
  14. #include <linux/jiffies.h>
  15. #include <linux/cdev.h>
  16. #include <asm/unistd.h>
  17. #include <asm/uaccess.h>
  18. #include <linux/path.h>
  19. #include <linux/time.h>
  20. #include <linux/stat.h>
  21. #include <net/sock.h>
  22. #include <net/inet_sock.h>
  23. #include <asm/cpufeature.h>
  24. /* grep sys_call_table  /boot/System.map-`uname -r` */
  25. unsigned long **sys_call_table = (unsigned long **)0xc15b3000;
  26. unsigned long *orig_mkdir = NULL;
  27. /* make the page writable */
  28. int make_rw(unsigned long address)
  29. {
  30. unsigned int level;
  31. pte_t *pte = lookup_address(address, &level);
  32. if (pte->pte & ~_PAGE_RW)
  33. pte->pte |=  _PAGE_RW;
  34. return 0;
  35. }
  36. /* make the page write protected */
  37. int make_ro(unsigned long address)
  38. {
  39. unsigned int level;
  40. pte_t *pte = lookup_address(address, &level);
  41. pte->pte &= ~_PAGE_RW;
  42. return 0;
  43. }
  44. asmlinkage long hacked_mkdir(const char __user *pathname, int mode)
  45. {
  46. printk("mkdir pathname: %s\n", pathname);
  47. printk(KERN_ALERT "mkdir do nothing!\n");
  48. return 0; /*everything is ok, but he new systemcall does nothing*/
  49. }
  50. static int syscall_init_module(void)
  51. {
  52. printk(KERN_ALERT "sys_call_table: 0x%lx\n", sys_call_table);
  53. orig_mkdir = (unsigned long *)(sys_call_table[__NR_mkdir]);
  54. printk(KERN_ALERT "orig_mkdir: 0x%lx\n", orig_mkdir);
  55. make_rw((unsigned long)sys_call_table);
  56. sys_call_table[__NR_mkdir] = (unsigned long *)hacked_mkdir;
  57. make_ro((unsigned long)sys_call_table);
  58. return 0;
  59. }
  60. static void syscall_cleanup_module(void)
  61. {
  62. printk(KERN_ALERT "Module syscall unloaded.\n");
  63. make_rw((unsigned long)sys_call_table);
  64. sys_call_table[__NR_mkdir] = (unsigned long *)orig_mkdir; /*set mkdir syscall to the origal one*/
  65. make_ro((unsigned long)sys_call_table);
  66. }
  67. module_init(syscall_init_module);
  68. module_exit(syscall_cleanup_module);
  69. MODULE_LICENSE("GPL");
  70. MODULE_DESCRIPTION("hack syscall");

参考:

1、《深入理解linux内核(第三版)》

2、Hijack Linux System Calls: Part III. System Call Table

[fw]拦截系统调用的更多相关文章

  1. xenomai内核解析之双核系统调用(一)

    版权声明:本文为本文为博主原创文章,转载请注明出处.如有错误,欢迎指正.博客地址:https://www.cnblogs.com/wsg1100/ 目录 xenomai 内核系统调用 一.32位Lin ...

  2. Hook android系统调用研究(一)

    本文的博客链接:http://blog.csdn.net/qq1084283172/article/details/55657300 一.Android内核源码的编译环境 系统环境:Ubuntu 14 ...

  3. hook Android系统调用的乐趣和好处

    翻译:myswsun 0x00 前言 Android的内核是逆向工程师的好伙伴.虽然常规的Android应用被限制和沙盒化,逆向工程师可以按自己希望自定义和改变操作系统和内核中行为.这给了你不可多得的 ...

  4. Linux Rootkit Sample && Rootkit Defenser Analysis

    目录 . 引言 . LRK5 Rootkit . knark Rootkit . Suckit(super user control kit) . adore-ng . WNPS . Sample R ...

  5. linux ptrace I

    这几天通过<游戏安全--手游安全技术入门这本书>了解到linux系统中ptrace()这个函数可以实现外挂功能,于是在ubuntu 16.04 x86_64系统上对这个函数进行了学习. 参 ...

  6. [译] 玩转ptrace (一)

    [本文翻译自这里: http://www.linuxjournal.com/article/6100?page=0,0,作者:Pradeep Padaia] 你是否曾经想过怎样才能拦截系统调用?你是否 ...

  7. 玩转ptrace (一)

    转自http://www.cnblogs.com/catch/p/3476280.html [本文翻译自这里: http://www.linuxjournal.com/article/6100?pag ...

  8. python-Flask模版注入攻击SSTI(python沙盒逃逸)

    一篇以python Flask 模版渲染为例子的SSTI注入教学~ 0x01 Flask使用和渲染 这里简化了flask使用和渲染的教程 只把在安全中我们需要关注的部分写出来 来一段最简单的FLASK ...

  9. linux ptrace I【转】

    转自:https://www.cnblogs.com/mmmmar/p/6040325.html 这几天通过<游戏安全——手游安全技术入门这本书>了解到linux系统中ptrace()这个 ...

随机推荐

  1. Java REST Client API

    https://www.elastic.co/guide/en/elasticsearch/client/java-rest/7.3/java-rest-high-supported-apis.htm ...

  2. TCP窗口

    一.窗口移动1.在建立TCP连接时,接收端会告诉发送端自己的接收窗口.2.发送端在发送数据时,会先为数据分包,编号,然后先发送窗口大小的数据(数据大于窗口大小),小于则全部发送了,窗口后的不允许发送. ...

  3. Kconfig的简单例子

    https://cloud.tencent.com/developer/article/1431908 使用Kconfig时,需要注意的地方 1.在Kconfig中定义的配置宏,前缀都没有" ...

  4. TP5+阿里云OSS上传文件第三节,实现淘宝上传商品图片

    **TP5+阿里云OSS上传文件第三节,实现淘宝上传商品图片首先我们来看看淘宝的功能和样式:** 之后看看制作完成的演示:(由于全部功能弄成GIF有点大,限制上传大小好像在1M之内,压缩之后也有1.9 ...

  5. Java 根据银行卡号获取银行名称以及图标

    转 https://blog.csdn.net/N_007/article/details/78835526 参考 CNBankCard 中国各大银行卡号查询 一.支付宝接口获取名称 根据 卡号 获取 ...

  6. 详解zabbix中文版安装部署

    一.zabbix简介(摘自百度百科) zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案. zabbix能监视各种网络参数,保证服务器系统的安全运营:并提供柔软 ...

  7. [洛谷P1095]NOIP2007 普及组T3 守望者的逃离

    问题描述 恶魔猎手尤迪安野心勃勃,他背叛了暗夜精灵,率领深藏在海底的娜迦族企图叛变.守望者在与尤迪安的交锋中遭遇了围杀,被困在一个荒芜的大岛上.为了杀死守望者,尤迪安开始对这个荒岛施咒,这座岛很快就会 ...

  8. intraweb首次与LayUI结合

    intraweb可以说是Delphi Web开发的好帮手,但是自带的控件搭建页面,感觉不是那么美观,于是想引用一个UI框架,Delphi来提供后台访问,但是发现一个问题,如果intraweb用模版,L ...

  9. 玩转MaxCompute studio SQL编辑器

    SQL因其简单易学的特点,是用户与MaxCompute服务交互的主要手段.如何帮助用户高效愉快的编写SQL是MaxCompute studio的核心使命,下面就让我们来一探究竟: 忘记语法 相信大家都 ...

  10. myeclipse web project 名字可以包含中文吗?

    1.理论上是可以有中文名的,但是由于中文因为编码的原因导致不可预料的后果,所以一般不建议使用中文名称 2.   Myeclipse中修改Web项目名字的方法 方法一:新建项目法(有效的备份原来的项目) ...