替換系統(tǒng)調(diào)用問(wèn)題

mzj1984cs

2.6.18內(nèi)核，主要代碼如下：
void *get_system_call(void);
void *get_sys_call_table(void *system_call);
asmlinkage int (*orig_mkdir)(const char __user *pathname,int mode);


asmlinkage int hack_mkdir(const char __user *pathname,int mode){
       
        printk(KERN_ALERT "hack mkdir\n";

        return 0;

}


unsigned long  **sys_call_table;
     
struct idt_descriptor
{
    unsigned short off_low;
    unsigned short sel;
    unsigned char none, flags;
    unsigned short off_high;
};


int test_init(void)
{
void *s_call;

s_call = get_system_call();
sys_call_table = (unsigned long *)get_sys_call_table(s_call);

printk("sys_call_table: 0x%08x\n", (int)sys_call_table);
orig_mkdir = sys_call_table[__NR_mkdir];
sys_call_table[__NR_mkdir] = (unsigned long *)hack_mkdir;

return(0); /*NOTES!*/
}

void test_exit(void) {
       
sys_call_table[__NR_mkdir] = (unsigned long *)orig_mkdir;

}


void *get_system_call(void)
{
unsigned char idtr[6];
unsigned long base;
struct idt_descriptor desc;

asm ("sidt %0" : "=m" (idtr));
base = *((unsigned long *) &idtr[2]);
printk("\nidtr @ 0x%x\n",base);
memcpy(&desc, (void *) (base + (0x80*), sizeof(desc));

return((void *) ((desc.off_high << 16) + desc.off_low));

}


void *get_sys_call_table(void *system_call)
{
unsigned char *p;
unsigned long s_c_t;
int count = 0;
int flag = 0;

p = (unsigned char *) system_call;

while (!((*p == 0xff) && (*(p+1) == 0x14) && (*(p+2) == 0x85)))
    {
    p++;
        flag++;

    if (count++ > 500)
        {
        count = -1;
        break;
        }
    }

if (count != -1)
    {
        printk("\nflag = %d\n",flag);
    p += 3;
    s_c_t = *((unsigned long *) p);
    }
else
    s_c_t = 0;

return((void *) s_c_t);

}

module_init(test_init);
module_exit(test_exit);
錯(cuò)誤是 加載模塊時(shí)提示segmentation fault
日志：
idtr @ 0xc06e2000

flag = 64
BUG: unable to handle kernel paging request at virtual address c061857c

在線等啊，哪位老大help us

[ 本帖最后由 mzj1984cs 于 2008-5-15 17:37 編輯 ]

hongmy525

void *get_system_call(void)
{
unsigned char idtr[6];
unsigned long base;
struct idt_descriptor desc;

asm ("sidt %0" : "=m" (idtr));
base = *((unsigned long *) &idtr[2]);
printk("\nidtr @ 0x%x\n",base);
memcpy(&desc, (void *) (base + (0x80*), sizeof(desc));

return((void *) ((desc.off_high << 16) + desc.off_low));

}


void *get_sys_call_table(void *system_call)
{
unsigned char *p;
unsigned long s_c_t;
int count = 0;
int flag = 0;

p = (unsigned char *) system_call;

while (!((*p == 0xff) && (*(p+1) == 0x14) && (*(p+2) == 0x85)))
    {
    p++;
        flag++;

    if (count++ > 500)
        {
        count = -1;
        break;
        }
    }

if (count != -1)
    {
        printk("\nflag = %d\n",flag);
    p += 3;
    s_c_t = *((unsigned long *) p);
    }
else
    s_c_t = 0;

return((void *) s_c_t);

}

這段代碼在這個(gè)版本內(nèi)核能得到正確的sys_call_table地址嘛？

[ 本帖最后由 hongmy525 于 2008-5-16 09:38 編輯 ]

mzj1984cs

好啊，
在其它內(nèi)核嘗試時(shí)，得到的地址與/proc/kallsyms文件中的sys_call_table對(duì)應(yīng)的地址一樣
不知道有什么方法可以檢查這個(gè)地址的正確性

[ 本帖最后由 mzj1984cs 于 2008-5-16 09:51 編輯 ]

hongmy525

原帖由 mzj1984cs 于 2008-5-16 09:41 發(fā)表
好啊，
在其它內(nèi)核嘗試時(shí)，得到的地址與/proc/kallsyms文件中的sys_call_table對(duì)應(yīng)的地址一樣
不知道有什么方法可以檢查這個(gè)地址的正確性

使用3.1小節(jié)中的Makefile編譯(將example.o改為print_sys_call_table.o)，安裝模塊(錯(cuò)誤時(shí)返回－1，看一下輸出什么)。syslog輸出為：

Sep 25 01:19:58 enye-sec kernel: sys_call_table: 0xc0323d00

我們?cè)倏匆幌拢?br />
[raise@enye-sec]$ grep sys_call_table /boot/System.map
c0323d00 D sys_call_table

可見(jiàn)我們的方法工作的非常好。

《LKM Rootkits on Linux x86 v2.6》上的話，這個(gè)應(yīng)該是檢查正確性的吧？

hongmy525

一樣的，剛才沒(méi)有注意看~~：）

mzj1984cs

恩，可惜啊，就是替換系統(tǒng)調(diào)用是老是出錯(cuò)。。。頭大

hongmy525

好像是沒(méi)有config.h的內(nèi)核修改過(guò)了，sys_call_table的地方是只讀~
還得等等新辦法，或者花時(shí)間鉆鉆~：）

[ 本帖最后由 hongmy525 于 2008-5-16 12:19 編輯 ]

albcamus

原帖由 hongmy525 于 2008-5-16 12:16 發(fā)表
好像是沒(méi)有config.h的內(nèi)核修改過(guò)了，sys_call_table的地方是只讀~
還得等等新辦法，或者花時(shí)間鉆鉆~：）

我以前寫(xiě)過(guò)一個(gè)， 要修改CR0還是CR4的某一bit，具體忘了，你在本版搜索一下吧。

mzj1984cs

我試過(guò)了，fc3(2.6.9) 。fc4(2.6.11) 。suse enterprise 10(2.6.16) 可以。。fc6(2.6.1以上不行

hongmy525

哈哈，好，再次謝謝版主~