Linux下实现劫持系统调用的总结

zonelight

在最新的版本里pt_regs这个STRUCT似乎发生了很大的变化，没有了ebxecx这些东西了。。。。

zonelight

搞定了。。。自己写个struct加进去把原来的换调

ubuntuer

不错

zonelight

大家帮我看看为什么不行？
基本的做法都和顶楼一样了，我现在要做到的功能，就比如截获OPEN系统调用，然后让某个文件打不开。
主要实现是在这里改：
asmlinkage long new_open(char *filename, int flags, int mode)
{
    dbgprint("call open()\n");
    return old_open (filename, flags, mode);
}
改成：
asmlinkage long new_open(char *filename, int flags, int mode)
{
    判断filename是不是我指定的不允许open的文件，如果是，就return -1
    return old_open (filename, flags, mode);
}

从结果上看，内核INSMOD进去以后，在图形界面下，该文件确实打不开了，但是在命令行下，比如cat filename，就能够读取。
其他的，比如指定某个文件夹，让这个文件夹不允许创建子文件夹。
主要做法是截获mkdir系统调用，也是差不多判断然后return -1。结果，从界面下点击确实创建不了文件夹了，但是在终端里，mkdir 某某某，结果还是能够创建。
谁告诉我为什么系统调用对终端没有效果？？？？？？？

linux初学三月

谢谢了，要好好学习了

zonelight

我明白了。。路径的比对就是错的，这个是相对路径的问题，我拿来比的是相对路径。
在当前终端里输入mkdir kkkk，然后系统调用中的mkdir调用接到的pathname实际上是kkkk而不会是整个的绝对路径，所以自然比对不了了。至于为什么在图形界面化下可以，这个也是我的错觉，实际上是我的实际代码导致执行后任意目录下右击新建文件夹都不成功。
根据我打printk跟踪的结果，在mkdir kkkk这句敲下去后，我的mkdir系统调用实际上截到了2个东西，先是显示一个/root/.confd还是啥的，然后才会是kkkk。
接下来的工作就是去研究下这个.confd了，看看能不能从中找到办法使拦截的系统调用读取出整个的绝对路径。

zonelight

.gconfd看不出和这个有啥关系
asmlinkage long sys_mkdir(const char __user *pathname, int mode);
终端里输入mkdir xxxx，那pathname就是xxxx，看来如果输入的是相对路径的话，从pathname里怎么也没办法整出绝对路径的.

_LoveLinux

都是牛人啊 ～
自己还得加快学习的脚步！

卐伪装卐

sysctl:
    使对任何ping请求不响应，重启后有效？怎么设的呀！请还记得的指教下，谢谢！！！

qiangtoucao121

这个确实要顶一下 好文啊 奇文