使用kprobes，截获execve系统调用

albcamus

原帖由 dedodong 于 2007-10-17 10:19 发表



我装的vmware，每当升级一个内核版本，都要改一堆代码才能跑起来。   

牛....
albcamus大师不知道最近空闲不？ 能收我做徒弟不？？

嘿嘿

wmware 的内核模块是开源的， 有个老外维护了3个tarball的实时更新， 比自己改方便多了：
http://platan.vc.cvut.cz/ftp/pub/vmware/

采用这个更新，对安装windows和linux等 虚拟机系统来说， 一般没问题。 但如果是solaris，常常遇到Virtual CPU的BUG。


PS， 他大爷的我还是个小菜鸟，收个鸟徒弟啊！！！

caravsapm70

原帖由 albcamus 于 2007-9-24 12:42 发表


较新版本的kernel中， kallsyms_lookup_name已经不可用了。

没办法， kernel API真是折腾人。举例来说，我装的vmware，每当升级一个内核版本，都要改一堆代码才能跑起来。

谁有办法从较新的kernel中使用kallsyms_lookup_name啊。

albcamus

看内核的samples/kprobes下的示例程序。 肯定不难。

Idle_cloud

搂主好厉害啊，我终于学费了。谢谢楼主

new_learner

原帖由 albcamus 于 2007-9-20 18:27 发表
关于截获execve等系统调用，很久以来存在一个问题：新函数不能直接调旧函数，
否则导致stack不平衡，出错。

曾经有高人用一串的汇编代码去平衡堆栈， 但对于偶们这些汇编菜鸟来说， 连阅读都很困难。

请教一下版主，关于这句话"
"新函数不能直接调旧函数，
否则导致stack不平衡，出错。"

不太理解,搜了一把也没有对应的帖子，能否详细说一下，或者推荐一些帖子来学习？
谢谢！

Godbach

正好搜到albcamus兄的好贴，顶起来。

Godbach

2.6.18中，测试了open调用可以成功劫持。execve调用应该是内核中结构体发生变化了，如下：
    kp_exec.symbol_name = "do_execve";
2.6.18的内核中struct kprobe中没有symbol_name成员。。。

UNIX_QQ

原帖由 dedodong 于 2007-10-17 10:19 发表



我装的vmware，每当升级一个内核版本，都要改一堆代码才能跑起来。   

牛....
albcamus大师不知道最近空闲不？ 能收我做徒弟不？？

嘿嘿

要找师傅就得回学校找老师！

论坛是开放的，论坛上的人顶多指点下你。

实践还得靠自己！

tristan_xiao

回复 7# albcamus


    想请问一下,我用你的方法来替换函数:

    void **my＿table;

   asmlinkage old_func(void);
   asmlinkage new_func(void)
{
      //deal
      //....
     old_func();
}
static int  _init hello(void)
{
     my＿table = (void **)get_sys_table();
     old_func = my_table[__NR_write];
     // CR0-PE = 0
     my_table[__NR_write] = new_func;
}


在  old_func = my_table[__NR_write]; 处 报错: invalid lvalue in assignment.
不知道 师兄遇到这个问题了吗?如何解决?
谢谢.

snriyt

看不懂。。。
   收藏并膜拜