替换系统调用问题

mzj1984cs

2.6.18内核，主要代码如下：
void *get_system_call(void);
void *get_sys_call_table(void *system_call);
asmlinkage int (*orig_mkdir)(const char __user *pathname,int mode);


asmlinkage int hack_mkdir(const char __user *pathname,int mode){
       
        printk(KERN_ALERT "hack mkdir\n";

        return 0;

}


unsigned long  **sys_call_table;
     
struct idt_descriptor
{
    unsigned short off_low;
    unsigned short sel;
    unsigned char none, flags;
    unsigned short off_high;
};


int test_init(void)
{
void *s_call;

s_call = get_system_call();
sys_call_table = (unsigned long *)get_sys_call_table(s_call);

printk("sys_call_table: 0x%08x\n", (int)sys_call_table);
orig_mkdir = sys_call_table[__NR_mkdir];
sys_call_table[__NR_mkdir] = (unsigned long *)hack_mkdir;

return(0); /*NOTES!*/
}

void test_exit(void) {
       
sys_call_table[__NR_mkdir] = (unsigned long *)orig_mkdir;

}


void *get_system_call(void)
{
unsigned char idtr[6];
unsigned long base;
struct idt_descriptor desc;

asm ("sidt %0" : "=m" (idtr));
base = *((unsigned long *) &idtr[2]);
printk("\nidtr @ 0x%x\n",base);
memcpy(&desc, (void *) (base + (0x80*), sizeof(desc));

return((void *) ((desc.off_high << 16) + desc.off_low));

}


void *get_sys_call_table(void *system_call)
{
unsigned char *p;
unsigned long s_c_t;
int count = 0;
int flag = 0;

p = (unsigned char *) system_call;

while (!((*p == 0xff) && (*(p+1) == 0x14) && (*(p+2) == 0x85)))
    {
    p++;
        flag++;

    if (count++ > 500)
        {
        count = -1;
        break;
        }
    }

if (count != -1)
    {
        printk("\nflag = %d\n",flag);
    p += 3;
    s_c_t = *((unsigned long *) p);
    }
else
    s_c_t = 0;

return((void *) s_c_t);

}

module_init(test_init);
module_exit(test_exit);
错误是 加载模块时提示segmentation fault
日志：
idtr @ 0xc06e2000

flag = 64
BUG: unable to handle kernel paging request at virtual address c061857c

在线等啊，哪位老大help us

[ 本帖最后由 mzj1984cs 于 2008-5-15 17:37 编辑 ]

hongmy525

void *get_system_call(void)
{
unsigned char idtr[6];
unsigned long base;
struct idt_descriptor desc;

asm ("sidt %0" : "=m" (idtr));
base = *((unsigned long *) &idtr[2]);
printk("\nidtr @ 0x%x\n",base);
memcpy(&desc, (void *) (base + (0x80*), sizeof(desc));

return((void *) ((desc.off_high << 16) + desc.off_low));

}


void *get_sys_call_table(void *system_call)
{
unsigned char *p;
unsigned long s_c_t;
int count = 0;
int flag = 0;

p = (unsigned char *) system_call;

while (!((*p == 0xff) && (*(p+1) == 0x14) && (*(p+2) == 0x85)))
    {
    p++;
        flag++;

    if (count++ > 500)
        {
        count = -1;
        break;
        }
    }

if (count != -1)
    {
        printk("\nflag = %d\n",flag);
    p += 3;
    s_c_t = *((unsigned long *) p);
    }
else
    s_c_t = 0;

return((void *) s_c_t);

}

这段代码在这个版本内核能得到正确的sys_call_table地址嘛？

[ 本帖最后由 hongmy525 于 2008-5-16 09:38 编辑 ]

mzj1984cs

好啊，
在其它内核尝试时，得到的地址与/proc/kallsyms文件中的sys_call_table对应的地址一样
不知道有什么方法可以检查这个地址的正确性

[ 本帖最后由 mzj1984cs 于 2008-5-16 09:51 编辑 ]

hongmy525

原帖由 mzj1984cs 于 2008-5-16 09:41 发表
好啊，
在其它内核尝试时，得到的地址与/proc/kallsyms文件中的sys_call_table对应的地址一样
不知道有什么方法可以检查这个地址的正确性

使用3.1小节中的Makefile编译(将example.o改为print_sys_call_table.o)，安装模块(错误时返回－1，看一下输出什么)。syslog输出为：

Sep 25 01:19:58 enye-sec kernel: sys_call_table: 0xc0323d00

我们再看一下：

[raise@enye-sec]$ grep sys_call_table /boot/System.map
c0323d00 D sys_call_table

可见我们的方法工作的非常好。

《LKM Rootkits on Linux x86 v2.6》上的话，这个应该是检查正确性的吧？

hongmy525

一样的，刚才没有注意看~~：）

mzj1984cs

恩，可惜啊，就是替换系统调用是老是出错。。。头大

hongmy525

好像是没有config.h的内核修改过了，sys_call_table的地方是只读~
还得等等新办法，或者花时间钻钻~：）

[ 本帖最后由 hongmy525 于 2008-5-16 12:19 编辑 ]

albcamus

原帖由 hongmy525 于 2008-5-16 12:16 发表
好像是没有config.h的内核修改过了，sys_call_table的地方是只读~
还得等等新办法，或者花时间钻钻~：）

我以前写过一个， 要修改CR0还是CR4的某一bit，具体忘了，你在本版搜索一下吧。

mzj1984cs

我试过了，fc3(2.6.9) 。fc4(2.6.11) 。suse enterprise 10(2.6.16) 可以。。fc6(2.6.1以上不行

hongmy525

哈哈，好，再次谢谢版主~