在系统调用拦截里操作文件的问题
本帖最后由 sky__sea 于 2016-04-26 15:30 编辑不好意思,前面发了个同样的帖子,但是在列表里却找不到了,只好重发一次。
我在我的内核模块里实现了几个系统调用拦截的操作,现在碰到了两个问题:
1、以open为例,我发现当有操作进入到我的拦截函数里之后,我在函数里试图用flip_open来打开一个与当前操作进程和该进程操作的文件毫不相关的其他文件时,打开总是返回失败,但 是 我在模块启动的时候,也就是和系统调用无关的函数里进行同样的打开操作,确实没有问题的,这是怎么回事,是操作系统的限制吗?
2、同样是open调用,当有客户端通过ftp方式连接到我的机器时,这里有一个问题,如果我的机器ftp服务设置的登陆之后的属主目录是相对路径时(也就是登陆ftp之后执行pwd命令得到的是/, 而不是该用户的绝对路径),这个时候我在内核代码里怎么都获取不到绝对路径,始终得到的都是/, 其他情况下都没问题,我都怀疑是内核的bug了。
请教各位大侠,以上两个问题是否有人碰到过,有办法解决吗? 本帖最后由 nswcfd 于 2016-04-27 12:13 编辑
2. ftp那个是不是chroot过了? 我用strace跟踪了一下没有看到调用chroot, 是不是在ftp服务启动的时候就做了设置,任何用户登陆进去执行pwd显示的都是/,但是在ftp的配置文件里确实是修改chroot_local_user这一项。 问题的关键在于,即使现在是/,那要有什么办法来得到绝对路径呢? 可以参照fs/dcache.c::__d_path,重新实现一个,去掉对root/rootmnt的检查:lol 重写一个好复杂,对于我来说估计难度有点大,里面貌似逻辑很多,调用的其他函数也很多,感觉有点困难。 LZ说的拦截方式是kprobe方式吗 不是,是通过编写内核模块来修改sys_call_table中指定系统调用的地址实现的 本来我的想法是通过打开/proc/pid/cwd来获取到绝对路径,而这样也确实可以获取到,但问题是当我在系统调用的函数里打开这个文件时却总是返回错误,没辙了。 我建议用kprobe给你需要监控的函数挂个钩子,当你的系统调用被调用时,会旋转到你注册的函数中去。 你可以试试看这个行不行。
或者你把你的逻辑精简下,整个小的demo code放上来,帮你看看
页:
[1]
2