修改sys_call_table所在页面的read/write标志位的疑问

warriorpaw

新手学习怎么样hook系统调用，就参照（好吧就是照抄）
http://www.elliotbradbury.com/li ... t-descriptor-table/
写了如下的代码

1. #include <linux/kernel.h>
   
2. #include <linux/module.h>
   
3. #include <linux/unistd.h>
   
4. #include <linux/utsname.h>
   
5. #include <asm/pgtable.h>
   
6. #include <asm/desc.h>
   
7. 
   
8. MODULE_LICENSE("GPL");
   
9. 
   
10. typedef struct desc_struct gate_desc;
    
11. typedef void (*sys_call_ptr_t)(void);
    
12. typedef asmlinkage long (*orig_uname_t)(struct new_utsname *);
    
13. 
    
14. sys_call_ptr_t *_sys_call_table = NULL;
    
15. pte_t *pte;
    
16. 
    
17. orig_uname_t orig_uname = NULL;
    
18. char *msg = "All ur base r belong to us";
    
19. 
    
20. struct desc_ptr {
    
21.         unsigned short size;
    
22.         unsigned long address;
    
23. } __attribute__((packed)) ;
    
24. 
    
25. pte_t *lookup_address(unsigned long address)
    
26. {
    
27.         pgd_t *pgd = pgd_offset_k(address);
    
28.         pud_t *pud;
    
29.         pmd_t *pmd;
    
30.         if (pgd_none(*pgd))
    
31.                 return NULL;
    
32.         pud = pud_offset(pgd, address);
    
33.         if (pud_none(*pud))
    
34.                 return NULL;
    
35.         pmd = pmd_offset(pud, address);
    
36.         if (pmd_none(*pmd))
    
37.                 return NULL;
    
38.         if (pmd_large(*pmd))
    
39.                 return (pte_t *)pmd;
    
40.         return pte_offset_kernel(pmd, address);
    
41. }
    
42. 
    
43. asmlinkage long hooked_uname(struct new_utsname *name) {
    
44.     orig_uname(name);
    
45.     strncpy(name->sysname, msg, 27);
    
46.     return 0;
    
47. }
    
48. 
    
49. static int _init_module(void ) {   
    
50.     struct desc_ptr idtr;
    
51.     gate_desc *idt_table;
    
52.     gate_desc *system_call_gate;
    
53.     unsigned int _system_call_off;
    
54.     unsigned char *_system_call_ptr;
    
55.     unsigned int i;
    
56.     unsigned char *off;
    
57. 
    
58.     printk("+ Loading module\n");
    
59.     asm ("sidt %0" : "=m" (idtr));
    
60.     idt_table = (gate_desc *) idtr.address;
    
61.     system_call_gate = &idt_table[0x80];
    
62.     _system_call_off = (system_call_gate->a & 0xffff) | (system_call_gate->b & 0xffff0000);
    
63.     _system_call_ptr = (unsigned char *) _system_call_off;
    
64. 
    
65.     for(i = 0; i < 128; i++) {
    
66.         off = _system_call_ptr + i;
    
67.         if(*(off) == 0xff && *(off+1) == 0x14 && *(off+2) == 0x85) {
    
68.             _sys_call_table = *(sys_call_ptr_t **)(off+3);
    
69.             break;
    
70.         }
    
71.     }
    
72. 
    
73.     if(_sys_call_table == NULL) {
    
74.         printk("- unable to locate sys_call_table\n");
    
75.         return 0;
    
76.     }
    
77.     printk("+ found sys_call_table at %08x!\n", (unsigned int)_sys_call_table);
    
78.     orig_uname = (orig_uname_t) _sys_call_table[__NR_uname];
    
79.     pte = lookup_address((unsigned long) _sys_call_table);
    
80. ////////////////////////////////////////////////
    
81.     set_pte_atomic(pte, pte_mkwrite(*pte));
    
82.     _sys_call_table[__NR_uname] = (sys_call_ptr_t) hooked_uname;
    
83.     set_pte_atomic(pte, pte_wrprotect(*pte));
    
84. ////////////////////////////////////////////////
    
85.     printk("+ uname hooked!\n");
    
86.     return 0;
    
87. }
    
88. 
    
89. static void _cleanup_module(void) {
    
90.     if(orig_uname != NULL)
    
91.     {
    
92.         set_pte_atomic(pte, pte_mkwrite(*pte));
    
93.         _sys_call_table[__NR_uname] = (sys_call_ptr_t) orig_uname;
    
94.         set_pte_atomic(pte, pte_wrprotect(*pte));
    
95.     }
    
96.      
    
97.     printk("+ Unloading module\n");
    
98. }
    
99. 
    
100. module_init(_init_module);
     
101. module_exit(_cleanup_module);

复制代码

比较关键的代码就是//注释符包括住的那几行了
理论上set_pte_atomic(pte, pte_mkwrite(*pte))修改了_sys_call_table所在页的read/write标志位了，应该可以随意替换了吧？？
在装有centos 5.5的虚拟机里面测试

1. [root@localhost linux-syscall-hooker]# make
   
2. make -C /lib/modules/2.6.18-194.el5/build M=/root/changesct/linux-syscall-hooker modules
   
3. make[1]: Entering directory `/usr/src/kernels/2.6.18-194.el5-i686'
   
4.   CC [M]  /root/changesct/linux-syscall-hooker/my_module.o
   
5.   Building modules, stage 2.
   
6.   MODPOST
   
7.   CC      /root/changesct/linux-syscall-hooker/my_module.mod.o
   
8.   LD [M]  /root/changesct/linux-syscall-hooker/my_module.ko
   
9. make[1]: Leaving directory `/usr/src/kernels/2.6.18-194.el5-i686'
   
10. [root@localhost linux-syscall-hooker]# insmod ./my_module.ko
    
11. [root@localhost linux-syscall-hooker]# uname
    
12. All ur base r belong to us
    
13. [root@localhost linux-syscall-hooker]#

复制代码

一切正常，OK 符合预期
然后就复制my_module.c和Makefile到一台I5-2520m的笔记本上，也是centos5.5系统同一个iso装出来的，进init 3模式测试的
root登录
make 正常
insmod ./my_module.ko
这破笔记本毫不留情的直接内核oops了，报unable to handle kernel paging request at virtual address ，出错地址就是&_sys_call_table[__NR_uname]，我就蛋疼了，PTE的写标志位都修改过了怎么还会报这个错，简单的想了想，也许是SMP缓存同步什么的问题？
就尝试着写了下面的代码。

1. #include <linux/kernel.h>
   
2. #include <linux/module.h>
   
3. #include <linux/unistd.h>
   
4. #include <linux/utsname.h>
   
5. #include <linux/delay.h>
   
6. #include <asm/pgtable.h>
   
7. #include <asm/desc.h>
   
8. 
   
9. MODULE_LICENSE("GPL");
   
10. typedef struct desc_struct gate_desc;
    
11. typedef void (*sys_call_ptr_t)(void);
    
12. typedef asmlinkage long (*orig_uname_t)(struct new_utsname *);
    
13. static sys_call_ptr_t *_sys_call_table = NULL;
    
14. static pte_t *pte;
    
15. static orig_uname_t orig_uname = NULL;
    
16. static char *msg = "All ur base r belong to us";
    
17. 
    
18. struct desc_ptr {
    
19.         unsigned short size;
    
20.         unsigned long address;
    
21. } __attribute__((packed)) ;
    
22. 
    
23. #define local_flush_tlb()                                               \
    
24.         do {                                                            \
    
25.                 unsigned int tmpreg;                                    \
    
26.                                                                         \
    
27.                 __asm__ __volatile__(                                   \
    
28.                         "movl %%cr3, %0;              \n"               \
    
29.                         "movl %0, %%cr3;  # flush TLB \n"               \
    
30.                         : "=r" (tmpreg)                                 \
    
31.                         :: "memory");                                   \
    
32.         } while (0)
    
33. 
    
34. pte_t *lookup_address(unsigned long address)
    
35. {
    
36.         pgd_t *pgd = pgd_offset_k(address);
    
37.         pud_t *pud;
    
38.         pmd_t *pmd;
    
39.         if (pgd_none(*pgd))
    
40.                 return NULL;
    
41.         pud = pud_offset(pgd, address);
    
42.         if (pud_none(*pud))
    
43.                 return NULL;
    
44.         pmd = pmd_offset(pud, address);
    
45.         if (pmd_none(*pmd))
    
46.                 return NULL;
    
47.         if (pmd_large(*pmd))
    
48.                 return (pte_t *)pmd;
    
49.         return pte_offset_kernel(pmd, address);
    
50. }
    
51. 
    
52. asmlinkage long hooked_uname(struct new_utsname *name) {
    
53.     orig_uname(name);
    
54.     strncpy(name->sysname, msg, 27);
    
55.     return 0;
    
56. }
    
57. 
    
58. static int _init_module(void ) {
    
59.     struct desc_ptr idtr;
    
60.     gate_desc *idt_table;
    
61.     gate_desc *system_call_gate;
    
62.     unsigned int _system_call_off;
    
63.     unsigned char *_system_call_ptr;
    
64.     unsigned int i;
    
65.     unsigned char *off;
    
66. 
    
67.     printk("+ Loading module\n");
    
68.     asm ("sidt %0" : "=m" (idtr));
    
69.     idt_table = (gate_desc *) idtr.address;
    
70.     system_call_gate = &idt_table[0x80];
    
71.     _system_call_off = (system_call_gate->a & 0xffff) | (system_call_gate->b & 0xffff0000);
    
72.     _system_call_ptr = (unsigned char *) _system_call_off;
    
73. 
    
74.     for(i = 0; i < 128; i++) {
    
75.         off = _system_call_ptr + i;
    
76.         if(*(off) == 0xff && *(off+1) == 0x14 && *(off+2) == 0x85) {
    
77.             _sys_call_table = *(sys_call_ptr_t **)(off+3);
    
78.             break;
    
79.         }
    
80.     }
    
81. 
    
82.     if(_sys_call_table == NULL) {
    
83.         printk("- unable to locate sys_call_table\n");
    
84.         return 0;
    
85.     }
    
86. 
    
87.     printk("+ uname  %08x!\n", (unsigned int)&_sys_call_table[__NR_uname]);
    
88.     pte = lookup_address((unsigned long) _sys_call_table);
    
89. ////////////////////////////////////////////////
    
90.     set_pte_atomic(pte, pte_mkwrite(*pte));
    
91.     mb();
    
92.     local_flush_tlb();
    
93.     orig_uname = (orig_uname_t) _sys_call_table[__NR_uname];
    
94.     msleep(500);
    
95.     _sys_call_table[__NR_uname] = (sys_call_ptr_t) hooked_uname;
    
96.     set_pte_atomic(pte, pte_wrprotect(*pte));
    
97. ////////////////////////////////////////////////
    
98.     printk("+ uname hooked!\n");
    
99. 
    
100.     return 0;
     
101. }
     
102. 
     
103. static void _cleanup_module(void) {
     
104.     if(orig_uname != NULL) {
     
105.         printk("+ Unloading module\n");
     
106.         set_pte_atomic(pte, pte_mkwrite(*pte));
     
107.         mb();
     
108.         msleep(500);
     
109.         local_flush_tlb();
     
110.         _sys_call_table[__NR_uname] = (sys_call_ptr_t) orig_uname;
     
111.         set_pte_atomic(pte, pte_wrprotect(*pte));
     
112.     }
     
113.     printk("+ Unload done!\n");
     
114. }
     
115. 
     
116. module_init(_init_module);
     
117. module_exit(_cleanup_module);

复制代码

就是简单的用内核宏mb()内存屏障下，然后local_flush_tlb刷新TLB，然后再sleep一下，别问我为啥要sleep一下，我也不明白就是感觉然让内核进程换出下也许会好，虚拟机测试，没错误
复制到那台笔记本上测试，让我蛋疼无比的事情发生了，加载卸载模块有时候oops，有时候没错误，感觉跟玩我似的随机的oops！！！
写个test.sh

1. while [ 1 ]
   
2. do
   
3.     insmod my_module.ko
   
4.     echo .....................................
   
5.     sleep 1
   
6.     rmmod my_module.ko
   
7.     echo .....................................
   
8.     sleep 1
   
9. done

复制代码

让笔记本不停的加载卸载，出现了如下的现象，，，，

前面还加载卸载的很正常，偶尔的就会出现这个oops，不是每次都出现，，，
瞬间蛋疼无比，这算是什么错误啊
有时候oops信息都打印不完整cpu就宕掉了。。。如下图

又尝试过使用WBINVD指令和__asm__ __volatile__ ("": : :"memory")再做屏障，去掉sleep
还是会这样oops，还是_sys_call_table[__NR_uname]赋值的那一行随机oops掉。。。
我真蛋疼的不知所措了。。。。。。
在此求教各位高手了帮忙看看这是怎么回事的？？？
真机CPU和虚拟机里面有什么大的差别啊？？？？

warriorpaw

木有人知道这是为啥吗。。。