Linux下实现劫持系统调用的总结

Godbach

至于怎么inline hook， 方法也很多 ， 加jmp或push, ret指令就ok,

那就是WIN下同样需要找到函数的入口地址吧

W.Z.T

有些内核函数是导出的， 没导出的从/proc/kallsyms查就ok了。 怎么查vupiggy贴过代码了。

W.Z.T

原帖由 Godbach 于 2009-12-8 13:15 发表


那就是WIN下同样需要找到函数的入口地址吧

win下不是很了解， 可以通过解析pe结构也是可以的

wohenry84

这个下次看

zhj1011

哈哈 好文章啊

Godbach

修改了1楼中的一个小错误，CR0的WP bit是bit16，而不是bit20. 该位置位的时候是只读模式，清0之后有写权限。
参见intel的手册：

WP Write Protect (bit 16 of CR0) — When set, inhibits supervisor-level procedures
from writing into read-only pages; when clear, allows supervisor-level
procedures to write into read-only pages (regardless of the U/S bit setting;
see Section 4.1.3 and Section 4.6). This flag facilitates implementation of the
copy-on-write method of creating a new process (forking) used by operating
systems such as UNIX.

W.Z.T

原帖由 Godbach 于 2010-1-19 11:26 发表
修改了1楼中的一个小错误，CR0的WP bit是bit16，而不是bit20. 该位置位的时候是只读模式，清0之后有写权限。
参见intel的手册：

楼主的那个代码是从abl*版主那借鉴过来的， 原始的代码就有问题。 我也贴一个自己写的宏：

1. 
   
2. #define CLEAR_CR0       asm ("pushl %eax\n\t"                   \
   
3.                                 "movl %cr0, %eax\n\t"           \
   
4.                                 "andl $0xfffeffff, %eax\n\t"    \
   
5.                                 "movl %eax, %cr0\n\t"           \
   
6.                                 "popl %eax");
   
7. 
   
8. #define SET_CR0         asm ("pushl %eax\n\t"                   \
   
9.                                 "movl %cr0, %eax\n\t"           \
   
10.                                 "orl $0x00010000, %eax\n\t"     \
    
11.                                 "movl %eax, %cr0\n\t"           \
    
12.                                 "popl %eax");
    

复制代码

Godbach

呵呵，是啊。应该是albcamus兄的笔误吧。本来0xfffeffff就是bit16清0的。

Godbach

刚刚去WZT兄的博客上学习了。很佩服WZT兄做了那么多安全方面的研究。

ubuntuer

原帖由 W.Z.T 于 2010-1-19 12:51 发表


楼主的那个代码是从abl*版主那借鉴过来的， 原始的代码就有问题。 我也贴一个自己写的宏：


#define CLEAR_CR0       asm ("pushl %eax\n\t"                   \
                                "m ...

刚看了w.z.t  hi.baidu上的最新的一篇文章...深有感触！！！看的心里酸酸的