redhat enterPrise linux 5的系统调用劫持

sealdad

原帖由 Godbach 于 2009-9-24 11:03 发表
你劫持的那个调用，内核版本是多少，2.6.18吗

[root@redhat5 ~]# uname -a
Linux redhat5 2.6.18-8.el5xen #1 SMP Fri Jan 26 14:42:21 EST 2007 i686 i686 i386 GNU/Linux

Godbach

在RHEL 5.2上试了一下，内核是我自己编译的2.6.18.3. 加载模块，内核OOPS了，需要定位一下问题。

sealdad

原帖由 Godbach 于 2009-9-24 11:11 发表
在RHEL 5.2上试了一下，内核是我自己编译的2.6.18.3. 加载模块，内核OOPS了，需要定位一下问题。

OOPS？？？啥意思？

Godbach

OOPs报错的就是红色那一行汇编代码

   59 00000000 <init_module>:
   60    0:   e8 fc ff ff ff          call   1 <init_module+0x1>
   61    5:   a3 00 00 00 00          mov    %eax,0x0
   62    a:   8b 90 9c 00 00 00       mov    0x9c(%eax),%edx
   63   10:   89 15 00 00 00 00       mov    %edx,0x0
   64   16:   c7 80 9c 00 00 00 00    movl   $0x0,0x9c(%eax)
   65   1d:   00 00 00
   66   20:   31 c0                   xor    %eax,%eax
   67   22:   c3                      ret

sealdad

原帖由 sealdad 于 2009-9-24 11:13 发表


OOPS？？？啥意思？

知道了，呵呵，不好意思，把你的kernel也OOPS啦~~~~~~

Godbach

搞内核开发，遇上OOPs是正常的。你把你的OOps贴出来看一下。

sealdad

原帖由 Godbach 于 2009-9-24 11:16 发表
OOPs报错的就是红色那一行汇编代码

哦，有什么比较好的内核开发调试工具吗？

Godbach

我也是看到OOps了，然后反汇编一下内核模块。内核态的调试比较麻烦。本版块有精华帖，介绍调试内核的，你可以搜一下。

最常用的就用printk打印信息吧，这个是个笨方法

sealdad

原帖由 Godbach 于 2009-9-24 11:21 发表
我也是看到OOps了，然后反汇编一下内核模块。内核态的调试比较麻烦。本版块有精华帖，介绍调试内核的，你可以搜一下。

最常用的就用printk打印信息吧，这个是个笨方法

好，谢谢！我先学习一下调试方法吧~~

Godbach

记得2.6下系统调用表是可读不可写的，劫持的时候需要将其修改为可写的，你的代码中实现这一步了吗？