redhat enterPrise linux 5的系统调用劫持

sealdad

实现了，在arch下面都已经跑通了。
在 redhat 5下面sys_call_table都得不到。

sealdad

原帖由 Godbach 于 2009-9-24 11:26 发表
记得2.6下系统调用表是可读不可写的，劫持的时候需要将其修改为可写的，你的代码中实现这一步了吗？

这个。。。。。。我再看下，不过arch下面好像不用这么弄

Godbach

看一下这个劫持系统调用的帖子，可以获取到syscall_table，不过我这里执行同样OOps：
http://linux.chinaunix.net/bbs/thread-1135859-1-1.html

sealdad

原帖由 Godbach 于 2009-9-24 11:48 发表
看一下这个劫持系统调用的帖子，可以获取到syscall_table，不过我这里执行同样OOps：
http://linux.chinaunix.net/bbs/thread-1135859-1-1.html

linux2.6下系统调用劫持代码的原理几乎都是一样的。
我又试了一下
Linux ids1150srvr 2.6.16.60-0.21-smp.OK

感觉是redhat LINUX 5这个版本比较特殊。

caravsapm70

1. /**
   
2. * Return the first appearence of NEEDLE in HAYSTACK.  
   
3. * */
   
4. static void *memmem(const void *haystack, size_t haystack_len,
   
5.                 const void *needle, size_t needle_len)
   
6. {
   
7.         const char *begin;
   
8.         const char *const last_possible
   
9.                 = (const char *) haystack + haystack_len - needle_len;
   
10.         if (needle_len == 0)
    
11.                 /* The first occurrence of the empty string is deemed to occur at
    
12.                    the beginning of the string.  */
    
13.                 return (void *) haystack;
    
14.         /* Sanity check, otherwise the loop might search through the whole
    
15.            memory.  */
    
16.         if (__builtin_expect(haystack_len < needle_len, 0))
    
17.                 return NULL;
    
18.         for (begin = (const char *) haystack; begin <= last_possible;
    
19.                         ++begin)
    
20.                 if (begin[0] == ((const char *) needle)[0]
    
21.                                 && !memcmp((const void *) &begin[1],
    
22.                                         (const void *) ((const char *) needle + 1),
    
23.                                         needle_len - 1))
    
24.                         return (void *) begin;
    
25.         return NULL;
    
26. }
    
27. /**
    
28. * Find the location of sys_call_table
    
29. */
    
30. static unsigned long get_sys_call_table(void)
    
31. {
    
32.         /* we'll read first 100 bytes of int $0x80 */
    
33. #define OFFSET_SYSCALL 100        
    
34.         struct idtr idtr;
    
35.         struct idt idt;
    
36.         unsigned sys_call_off;
    
37.         unsigned retval;
    
38.         char sc_asm[OFFSET_SYSCALL], *p;
    
39.         /* well, let's read IDTR */
    
40.         asm("sidt %0":"=m"(idtr)
    
41.                         :
    
42.                         :"memory" );
    
43.         dbgprint("idtr base at 0x%X\n", (unsigned int)idtr.base);
    
44.         /* Read in IDT for vector 0x80 (syscall) */
    
45.         memcpy(&idt, (char *) idtr.base + 8 * 0x80, sizeof(idt));
    
46.         sys_call_off = (idt.off2 << 16) | idt.off1;
    
47.         dbgprint("idt80: flags=%X sel=%X off=%X\n",
    
48.                         (unsigned) idt.flags, (unsigned) idt.sel, sys_call_off);
    
49.         /* we have syscall routine address now, look for syscall table
    
50.            dispatch (indirect call) */
    
51.         memcpy(sc_asm, (void *)sys_call_off, OFFSET_SYSCALL);
    
52.         /**
    
53.          * Search opcode of `call sys_call_table(,eax,4)'
    
54.          */
    
55.         p = (char *) memmem(sc_asm, OFFSET_SYSCALL, "\xff\x14\x85", 3);
    
56.         if (p == NULL)
    
57.                 return 0;
    
58.         retval = *(unsigned *) (p + 3);
    
59.         if (p) {
    
60.                 dbgprint("sys_call_table at 0x%x, call dispatch at 0x%x\n",
    
61.                                 retval, (unsigned int) p);
    
62.         }
    
63.         return retval;
    
64. #undef OFFSET_SYSCALL
    
65. }

复制代码

这个是我以前做的项目里的一部分,应该是抄的albcamus的某个帖子，在as5下没有问题。
查找前先处理cr0的第17位（还是第20位？）

[ 本帖最后由 caravsapm70 于 2009-9-24 13:06 编辑 ]

caravsapm70

我的内核是2.6.18-128.1.1.el5PAE。xen的内核没有试过。

Godbach

查找前先处理cr0的第17位（还是第20位？）

应该是第20位