免费注册 查看新帖 |

Chinaunix

广告
  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 2392 | 回复: 9
打印 上一主题 下一主题

替换系统调用问题 [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2008-05-15 15:58 |只看该作者 |倒序浏览
2可用积分
2.6.18内核,主要代码如下:
void *get_system_call(void);
void *get_sys_call_table(void *system_call);
asmlinkage int (*orig_mkdir)(const char __user *pathname,int mode);


asmlinkage int hack_mkdir(const char __user *pathname,int mode){
       
        printk(KERN_ALERT "hack mkdir\n";

        return 0;

}


unsigned long  **sys_call_table;
     
struct idt_descriptor
{
    unsigned short off_low;
    unsigned short sel;
    unsigned char none, flags;
    unsigned short off_high;
};


int test_init(void)
{
void *s_call;

s_call = get_system_call();
sys_call_table = (unsigned long *)get_sys_call_table(s_call);

printk("sys_call_table: 0x%08x\n", (int)sys_call_table);
orig_mkdir = sys_call_table[__NR_mkdir];
sys_call_table[__NR_mkdir] = (unsigned long *)hack_mkdir;

return(0); /*NOTES!*/
}

void test_exit(void) {
       
sys_call_table[__NR_mkdir] = (unsigned long *)orig_mkdir;

}


void *get_system_call(void)
{
unsigned char idtr[6];
unsigned long base;
struct idt_descriptor desc;

asm ("sidt %0" : "=m" (idtr));
base = *((unsigned long *) &idtr[2]);
printk("\nidtr @ 0x%x\n",base);
memcpy(&desc, (void *) (base + (0x80*), sizeof(desc));

return((void *) ((desc.off_high << 16) + desc.off_low));

}


void *get_sys_call_table(void *system_call)
{
unsigned char *p;
unsigned long s_c_t;
int count = 0;
int flag = 0;

p = (unsigned char *) system_call;

while (!((*p == 0xff) && (*(p+1) == 0x14) && (*(p+2) == 0x85)))
    {
    p++;
        flag++;

    if (count++ > 500)
        {
        count = -1;
        break;
        }
    }

if (count != -1)
    {
        printk("\nflag = %d\n",flag);
    p += 3;
    s_c_t = *((unsigned long *) p);
    }
else
    s_c_t = 0;

return((void *) s_c_t);

}

module_init(test_init);
module_exit(test_exit);
错误是 加载模块时提示segmentation fault
日志:
idtr @ 0xc06e2000

flag = 64
BUG: unable to handle kernel paging request at virtual address c061857c

在线等啊,哪位老大help us

[ 本帖最后由 mzj1984cs 于 2008-5-15 17:37 编辑 ]

论坛徽章:
0
2 [报告]
发表于 2008-05-16 09:23 |只看该作者
void *get_system_call(void)
{
unsigned char idtr[6];
unsigned long base;
struct idt_descriptor desc;

asm ("sidt %0" : "=m" (idtr));
base = *((unsigned long *) &idtr[2]);
printk("\nidtr @ 0x%x\n",base);
memcpy(&desc, (void *) (base + (0x80*), sizeof(desc));

return((void *) ((desc.off_high << 16) + desc.off_low));

}


void *get_sys_call_table(void *system_call)
{
unsigned char *p;
unsigned long s_c_t;
int count = 0;
int flag = 0;

p = (unsigned char *) system_call;

while (!((*p == 0xff) && (*(p+1) == 0x14) && (*(p+2) == 0x85)))
    {
    p++;
        flag++;

    if (count++ > 500)
        {
        count = -1;
        break;
        }
    }

if (count != -1)
    {
        printk("\nflag = %d\n",flag);
    p += 3;
    s_c_t = *((unsigned long *) p);
    }
else
    s_c_t = 0;

return((void *) s_c_t);

}

这段代码在这个版本内核能得到正确的sys_call_table地址嘛?

[ 本帖最后由 hongmy525 于 2008-5-16 09:38 编辑 ]

论坛徽章:
0
3 [报告]
发表于 2008-05-16 09:41 |只看该作者

回复 #2 hongmy525 的帖子

好啊,
在其它内核尝试时,得到的地址与/proc/kallsyms文件中的sys_call_table对应的地址一样
不知道有什么方法可以检查这个地址的正确性

[ 本帖最后由 mzj1984cs 于 2008-5-16 09:51 编辑 ]

论坛徽章:
0
4 [报告]
发表于 2008-05-16 10:03 |只看该作者
原帖由 mzj1984cs 于 2008-5-16 09:41 发表
好啊,
在其它内核尝试时,得到的地址与/proc/kallsyms文件中的sys_call_table对应的地址一样
不知道有什么方法可以检查这个地址的正确性
使用3.1小节中的Makefile编译(将example.o改为print_sys_call_table.o),安装模块(错误时返回-1,看一下输出什么)。syslog输出为:

Sep 25 01:19:58 enye-sec kernel: sys_call_table: 0xc0323d00

我们再看一下:

[raise@enye-sec]$ grep sys_call_table /boot/System.map
c0323d00 D sys_call_table

可见我们的方法工作的非常好。


《LKM Rootkits on Linux x86 v2.6》上的话,这个应该是检查正确性的吧?

论坛徽章:
0
5 [报告]
发表于 2008-05-16 10:14 |只看该作者

回复 #3 mzj1984cs 的帖子

一样的,刚才没有注意看~~:)

论坛徽章:
0
6 [报告]
发表于 2008-05-16 10:42 |只看该作者

回复 #5 hongmy525 的帖子

恩,可惜啊,就是替换系统调用是老是出错。。。头大

论坛徽章:
0
7 [报告]
发表于 2008-05-16 12:16 |只看该作者
好像是没有config.h的内核修改过了,sys_call_table的地方是只读~
还得等等新办法,或者花时间钻钻~:)

[ 本帖最后由 hongmy525 于 2008-5-16 12:19 编辑 ]

论坛徽章:
0
8 [报告]
发表于 2008-05-19 12:17 |只看该作者
原帖由 hongmy525 于 2008-5-16 12:16 发表
好像是没有config.h的内核修改过了,sys_call_table的地方是只读~
还得等等新办法,或者花时间钻钻~:)


我以前写过一个, 要修改CR0还是CR4的某一bit,具体忘了,你在本版搜索一下吧。

论坛徽章:
0
9 [报告]
发表于 2008-05-19 16:37 |只看该作者
我试过了,fc3(2.6.9) 。fc4(2.6.11) 。suse enterprise 10(2.6.16) 可以。。fc6(2.6.1以上不行

论坛徽章:
0
10 [报告]
发表于 2008-05-20 08:53 |只看该作者

回复 #8 albcamus 的帖子

哈哈,好,再次谢谢版主~
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP