关于劫持系统调用

zqx431

附件是一个劫持exit的系统调用的Module,但是为什么不起作用呢？
而我在内核中自己加了一个Mycall的系统调用，然后用同样的方法劫持就可以劫持。
这是为什么呢？
请赐教！  我的内核是2.6.15

[ 本帖最后由 zqx431 于 2006-11-10 16:31 编辑 ]

qtdszws

直接根据system.map中的地址修改不行吗？

zqx431

可以直接根据system.map中的地址修改。我实验了。

另外我还找到一下方法：

static void get_sys_call_table1(void) {
        unsigned long* ptr;
        int i;
        int arr[4];
        ptr=(unsigned long *)((init_mm.end_code + 4) & 0xfffffffc);
        while((unsigned long )ptr < (unsigned long)init_mm.end_data)
        {
                if (*ptr == (unsigned long *)sys_open) { /* The hit has happend! */
                      printk (KERN_INFO" -> matching detected at %p\n", ptr);
                        /* The pointers mast point to kernel code section... */
                        for(i = 0; i < 4 ;i++)
                        {
                                arr[i]=*(ptr+i);
                                arr[i]=(arr[i] >> 16) & 0x0000ffff;
                        }
                        /* And they does not mast match... */
                        if(arr[0] != arr[2] || arr[1] != arr[3])
                        {
                                sys_call_table=(ptr-__NR_open);
                                break;
                        }

                }
        ptr++; /* The next one... */
        }
        printk (KERN_INFO"[1] sys_call_table1 base found at: 0x%p\n",sys_call_table);
}

其中为什么要进行arr[i]=(arr[i] >> 16) & 0x0000ffff;这个操作，什么意思？
if(arr[0] != arr[2] || arr[1] != arr[3])？？？

duanjigang

这类例子多了，CU就有很多，自己搜索搜索吧(呵呵，偷个懒，我当初就是自己google的)