Linux下拦截特定进程发出的系统调用，遇到惊悚的问题，大家帮忙看看

迟来的生活

如何在Linux系统下实现对特定进程发出的系统调用进行拦截？
  实验环境：RedHat linux，内核版本2.6.32，32位处理器。
  查到有两种比较好的方法，一种是修改中断向量表法，代码如下：
  有两个问题，在代码中添加了注释，希望大家能帮忙解答！
==========================================================
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/tty.h>
#include <asm/unistd.h>
#include <linux/init.h>
#include <linux/sched.h>
#include <linux/types.h>
#include <linux/dirent.h>
#include <linux/string.h>
#include <linux/slab.h>
#include <linux/fs.h>

MODULE_LICENSE("GPL");
MODULE_AUTHOR("SHY");
MODULE_DESCRIPTION("test");

void my_stub();
static unsigned long old_stub;
static unsigned long stub_eax,stub_ebx,stub_ecx,stub_edx,stub_esi,stub_edi;

struct{
        unsigned short limit;
        unsigned long base;
}__attribute__((packed)) idtr;

//中断描述符
struct descriptor_idt{
        unsigned short offset_low;
        unsigned short selector;
        unsigned char reserved;
        unsigned char type:4;
        unsigned char segmentflag:1;
        unsigned char DPL:2;
        unsigned char present:1;
        unsigned short offset_high;
};

//拦截处理函数
void my_handler(){
//        if(current_comm=="ls"){                           //问题1：想实现对特定进程发出的系统调用进行拦截，最好是根据进程名称来区分，如果是根据进程ID，那么每次程序执行ID都不同，所以应该如何通过进程名判断？
                __asm__("movl %%eax,%0\n"
                        "movl %%ebx,%1\n"
                        "movl %%ecx,%2\n"
                        "movl %%edx,%3\n"
                        "movl %%esi,%4\n"
                        "movl %%edi,%5\n"
                        "popl %%ebx\n"
                        "popl %%ecx\n"
                        "popl %%edx\n"
                        "popl %%esi\n"
                        "popl %%edi\n"
                        "popl %%ebp\n"
                        "popl %%eax\n"
                        "popl %%ds\n"
                        "popl %%es\n"
                        "jmp *old_stub"
                        ::"m" (stub_eax),"m" (stub_ebx),"m" (stub_ecx),"m" (stub_edx),"m" (stub_esi),"m" (stub_edi));
                printk("syscall number == %d",stub_eax);
//        }else{
//                __asm__("popl %%ebx\n"
//                       "popl %%ecx\n"
//                        "popl %%edx\n"
//                        "popl %%esi\n"
//                        "popl %%edi\n"
//                        "popl %%ebp\n"
//                        "popl %%eax\n"
//                        "popl %%ds\n"
//                        "popl %%es\n"
//                        "jmp *old_stub");
//        }
}

void stub_kad(void){
        __asm__(".globl my_stub \n"
                ".align 4,0x90 \n"
                "my_stub: \n"
                "pushl %es\n"
                "pushl %ds\n"
                "pushl %eax\n"
                "pushl %ebp\n"
                "pushl %edi\n"
                "pushl %esi\n"
                "pushl %edx\n"
                "pushl %ecx\n"
                "pushl %ebx\n"
                "call my_handler \n");
}

static void disable_page_protection(){
        unsigned long value;
        asm volatile("mov %%cr0, %0":"=r" (value));
        if(!(value&0x00010000)){
                return;
        }
        asm volatile("mov %0, %%cr0"::"r" (value&~0x00010000));
}

static void enable_page_protection(){
        unsigned long value;
        asm volatile("mov %%cr0, %0":"=r" (value));
        if(!(value&0x00010000)){
                return;
        }
        asm volatile("mov %0, %%cr0"::"r" (value|0x00010000));
}

static void replace_system_call(void){
        struct descriptor_idt* idte;
        
        __asm__ volatile("sidt %0":"=m" (idtr));
        idte=(struct descriptor_idt*)(idtr.base+8*0x80);
        old_stub=(idte->offset_high+16|idte->offset_low);

        unsigned long new_addr=(unsigned long)my_stub;
        idte->offset_high=(unsigned short)(new_addr>>16);               //问题2：关键问题！这条语句的执行会导致系统死机，怀疑是因为没有对该地址的修改权限
        idte->offset_low=(unsigned short)(new_addr & 0x0000ffff);
}

static int __init _init_module(void){
        disable_page_protection();
        replace_system_call();
        printk("Intercept Module Installed!\n");
        return 0;
}

static void __exit _cleanup_module(void){
        struct descriptor_idt *idte;
        __asm__ volatile("sidt %0":"=m" (idtr));
        idte=(struct descriptor_idt*)(idtr.base+8*0x80);

        idte->offset_high=(unsigned short)(old_stub>>16);              //与问题2同样的问题
        idte->offset_low=(unsigned short)(old_stub & 0x0000ffff);
        enable_page_protection();

        printk("Intercept Module Uninstalled!\n");
}

module_init(_init_module);
module_exit(_cleanup_module);
=======================================================

  另外一种拦截方法，是通过修改sysenter指令的跳转目的地址，这种方法运行通过了，但是在获取进程信息时存在问题，同样在代码中注释，代码如下：
  功能是统计特定进程发出的不同的系统调用数量
=======================================================
#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/init.h>
#include <linux/sched.h>
#include <asm/thread_info.h>
#include <asm/unistd.h>
#include <asm/msr.h>
#include <asm/pgtable.h>

MODULE_LICENSE("GPL");
MODULE_AUTHOR("SHY");
MODULE_DESCRIPTION("system call interception");

asmlinkage char* my_function();
unsigned long handler_code=(unsigned long)&my_function;
unsigned long old_sysenter;
extern asmlinkage void my_stub();
unsigned long handled_times;
unsigned long counts[300];

void stub_trtr(void){
        __asm__(".globl my_stub        \n"
                ".align 4,0x90        \n"
                "my_stub:        \n"
                "        call *%0        \n"
                "        jmp *%1                \n"
                ::"m"(handler_code),"m"(old_sysenter));
}

asmlinkage char* my_function(){
        struct thread_info *info=current_thread_info();
        struct task_struct *task=info->task;
//      if(task->pid==1000){                                      //问题：拦截特定进程发出的系统调用，但是当加入这条if语句时加载模块会发生死机现象
        int my_eax;
        handled_times++;
        __asm__("movl %%eax,%0;":"=r"(my_eax));
        counts[my_eax]++;
//      }
        return;
}

void my_hook(){
        unsigned int a;
        rdmsr(MSR_IA32_SYSENTER_EIP,old_sysenter,a);
        wrmsr(MSR_IA32_SYSENTER_EIP,my_stub,0);
}

static int __init trtr_init(void){
        printk("interception module enter!\n");
        int i;
        for(i=0;i<300;i++){
                counts[i]=0;
        }
        my_hook();
        handled_times=0;
        return 0;
}

static void trtr_exit(void){
        int j;
        wrmsr(MSR_IA32_SYSENTER_EIP,old_sysenter,0);
        for(j=0;j<300;j++){
                if(counts[j]!=0){
                        printk("System call %d has been handled %ld times!\n",j,counts[j]);
                }
        }
        printk("interception module exit!\n");
}

module_init(trtr_init);
module_exit(trtr_exit);
=======================================================

迟来的生活

附上makefile:
=========================================

obj-m := intercept.o
modules-objs := intercept.o

KDIR := /lib/modules/`uname -r`/build
PWD := $(shell pwd)

all:default clean

default:
        make -C $(KDIR) M=$(PWD)

clean:
        rm -f *.o *.unsigned *.mod.c *.elf modules.order *.symvers *~

todaygood

看你实现的功能很简单，为何代码写得那么复杂，用kprobe 很容易搞定啊

迟来的生活

刚接触内核开发，相关知识了解的还很少，todaygood能稍微说具体点吗

迟来的生活

kprobe好像不能拦截system_call这个函数，会报错
insmod: error inserting '*.ko': -1 Operation not permitted

lenky0401

你这个是模块插入报错，

kkddkkdd11

迟来的生活 发表于 2013-12-17 19:24
如何在Linux系统下实现对特定进程发出的系统调用进行拦截？
  实验环境：RedHat linux，内核版本2.6.32，3 ...

这两种方法，windows 上玩的人，居多：）
linux源码在手，patch代码，比较好吧

迟来的生活

发表于 2013-12-18 10:17:01 |只看该作者
你这个是模块插入报错，

因为我设定的拦截函数是system_call，插入模块就会报这个错，但是要是拦截其它一些函数，插入就没有问题

这两种方法，windows 上玩的人，居多：）
linux源码在手，patch代码，比较好吧

打补丁的话可移植性太差了。。

瀚海书香

回复 1# 迟来的生活
声明：没有仔细看你的代码。

我这边有个模板代码供参考

1. 
   
2. /*******************************************************************************
   
3.   
   
4.   Copyright(c) 2008-2013
   
5. 
   
6.   This program is free software; you can redistribute it and/or modify it
   
7.   under the terms and conditions of the GNU General Public License,
   
8.   version 2, as published by the Free Software Foundation.
   
9. 
   
10.   This program is distributed in the hope it will be useful, but WITHOUT
    
11.   ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or
    
12.   FITNESS FOR A PARTICULAR PURPOSE.  See the GNU General Public License for
    
13.   more details.
    
14. 
    
15.   You should have received a copy of the GNU General Public License along with
    
16.   this program; if not, write to the Free Software Foundation, Inc.,
    
17.   51 Franklin St - Fifth Floor, Boston, MA 02110-1301 USA.
    
18. 
    
19.   The full GNU General Public License is included in this distribution in
    
20.   the file called "COPYING".
    
21. 
    
22.   Version:  not versioned!
    
23. 
    
24.   Date: 2013-09-23 08:36:48 CST
    
25. 
    
26.   Contact Information:
    
27.   Tony <tingw.liu@gmail.com>
    
28.   Home, Qingdao, China.
    
29. *******************************************************************************/
    
30. 
    
31. 
    
32. 
    
33. 
    
34. #include <linux/types.h>
    
35. #include <linux/stddef.h>
    
36. #include <linux/unistd.h>
    
37. #include <linux/module.h>
    
38. #include <linux/version.h>
    
39. #include <linux/kernel.h>
    
40. #include <linux/string.h>
    
41. #include <linux/mm.h>
    
42. #include <linux/slab.h>
    
43. #include <linux/sched.h>
    
44. #include <linux/in.h>
    
45. #include <linux/in.h>
    
46. #include <linux/skbuff.h>
    
47. #include <linux/netdevice.h>
    
48. #include <linux/dirent.h>
    
49. #include <asm/processor.h>
    
50. #include <asm/uaccess.h>
    
51. #include <asm/unistd.h>
    
52. #include <linux/fs.h>
    
53. 
    
54. MODULE_LICENSE("GPL");
    
55. MODULE_AUTHOR("Tony <tingw.liu@gmail.com>");
    
56. 
    
57. unsigned long **sys_call_table;
    
58. extern asmlinkage long sys_close(int fd);
    
59. static unsigned long **get_sys_call_table(void)
    
60. {
    
61.         unsigned long int offset = PAGE_OFFSET;
    
62.         unsigned long **sct;
    
63. 
    
64.         while (offset < ULLONG_MAX) {
    
65.                 sct = (unsigned long**)offset;
    
66.                 if (sct[__NR_close] == (unsigned long*)sys_close)
    
67.                         return sct;
    
68.                 offset += sizeof(void *);
    
69.         }
    
70.         return NULL;
    
71. }
    
72. asmlinkage long (*orig_open)(char __user *filename,int flags,int mode);
    
73. asmlinkage long new_open(char *filename,int flags,int mode)
    
74. {
    
75.         printk(KERN_INFO "fucking open\n");
    
76.         return orig_open(filename,flags,mode);
    
77. }
    
78. int init_module(void)
    
79. {
    
80.         unsigned long orig_cr0 = read_cr0();
    
81. 
    
82.         sys_call_table = get_sys_call_table();
    
83. 
    
84.         if (sys_call_table == NULL) {
    
85.                 printk(KERN_ALERT "Can't get sys_call_table\n");
    
86.                 return -1;
    
87.         }
    
88. 
    
89.         write_cr0(orig_cr0 & (~ 0x10000)); //Make kernel writable
    
90.         orig_open=sys_call_table[__NR_open];
    
91.         sys_call_table[__NR_open]=(unsigned long*)new_open;
    
92.         write_cr0(orig_cr0);
    
93. 
    
94.         return 0;
    
95. }
    
96. void cleanup_module(void)
    
97. {
    
98.         unsigned long orig_cr0 = read_cr0();
    
99. 
    
100.         write_cr0(orig_cr0 & (~ 0x10000)); //Make kernel writable
     
101.         sys_call_table[__NR_open]=(unsigned long*)orig_open;
     
102.         write_cr0(orig_cr0);
     
103.         printk(KERN_ALERT "module exit\n");
     
104.         return;
     
105. }
     
106.                            

复制代码

smalloc

1. asmlinkage char* my_function(){
   
2.         struct thread_info *info=current_thread_info();
   
3.         struct task_struct *task=info->task;
   
4. //      if(task->pid==1000){                                      //问题：拦截特定进程发出的系统调用，但是当加入这条if语句时加载模块会发生死机现象
   
5.         int my_eax;
   
6.         handled_times++;
   
7.         __asm__("movl %%eax,%0;":"=r"(my_eax));
   
8.         counts[my_eax]++;
   
9. //      }
   
10.         return;
    
11. }

复制代码

返回类型是char指针,当不执行if时eax放返回值,可能是非法的