免费注册	查看新帖 \|


平台论坛博客文库

› 论坛 › 程序设计 › 内核源码 › 关于内核模块卸载的问题

123 / 3 页下一页

最近访问板块

发新帖

楼主: sky__sea

上一主题

下一主题

[内核模块] 关于内核模块卸载的问题 [复制链接]

论坛徽章:: 36

IT运维版块每日发帖之星
日期:2016-04-10 06:20:00

IT运维版块每日发帖之星
日期:2016-04-16 06:20:00

15-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32

IT运维版块每日发帖之星
日期:2016-04-18 06:20:00

IT运维版块每日发帖之星
日期:2016-04-19 06:20:00

每日论坛发贴之星
日期:2016-04-19 06:20:00

IT运维版块每日发帖之星
日期:2016-04-25 06:20:00

IT运维版块每日发帖之星
日期:2016-05-06 06:20:00

IT运维版块每日发帖之星
日期:2016-05-08 06:20:00

IT运维版块每日发帖之星
日期:2016-05-13 06:20:00

IT运维版块每日发帖之星
日期:2016-05-28 06:20:00

每日论坛发贴之星
日期:2016-05-28 06:20:00

11楼 [报告]

发表于 2015-07-09 17:44 |只看该作者

回复 10# sky__sea

那应该加强入侵检测功能，把入侵的路子给堵上，而不是在入侵之后，防止人家卸载模块。

别人入侵之后，可以干很多事情，不止卸载模块吧。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 20

程序设计版块每日发帖之星
日期:2015-08-17 06:20:00

程序设计版块每日发帖之星
日期:2016-07-16 06:20:00

程序设计版块每日发帖之星
日期:2016-07-18 06:20:00

每日论坛发贴之星
日期:2016-07-18 06:20:00

黑曼巴
日期:2016-12-26 16:00:32

15-16赛季CBA联赛之江苏
日期:2017-06-26 11:05:56

15-16赛季CBA联赛之上海
日期:2017-07-21 18:12:50

15-16赛季CBA联赛之青岛
日期:2017-09-04 17:32:05

15-16赛季CBA联赛之吉林
日期:2018-03-26 10:02:16

程序设计版块每日发帖之星
日期:2016-07-15 06:20:00

15-16赛季CBA联赛之江苏
日期:2016-07-07 18:37:51

2015亚冠之萨济拖拉机
日期:2015-08-17 12:21:08

12楼 [报告]

发表于 2015-07-09 20:20 |只看该作者

kernel加载模块的时候注册了sysfs项，通过/sys/modules/是可以找到的。

至于怎么卸载，关键是得把模块加回到全局链表里（需要知道全局链表的首地址）。
模块里定义某个接口，无论是proc文件还是字符设备文件，或者增加新的系统调用，只要能触发添加操作就可以。

当然，这个后门如果被入侵者知道了，那就没啥效果了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 1

操作系统版块每日发帖之星
日期:2015-11-29 06:20:00

13楼 [报告]

发表于 2015-07-10 14:31 |只看该作者

没办法，这个不是我说的算，

Godbach 发表于 2015-07-09 17:44
回复 10# sky__sea

那应该加强入侵检测功能，把入侵的路子给堵上，而不是在入侵之后，防止人家卸载模块 ...

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 1

操作系统版块每日发帖之星
日期:2015-11-29 06:20:00

14楼 [报告]

发表于 2015-07-10 14:32 |只看该作者

你说的/sys/modules/没有这个目录啊，全局链表是有的，叫modules,但是是个静态变量，我没法用啊。

nswcfd 发表于 2015-07-09 20:20
kernel加载模块的时候注册了sysfs项，通过/sys/modules/是可以找到的。

至于怎么卸载，关键是得把模块加 ...

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 1

操作系统版块每日发帖之星
日期:2015-11-29 06:20:00

15楼 [报告]

发表于 2015-07-10 14:35 |只看该作者

/proc/modules貌似是看不到的。

nswcfd 发表于 2015-07-09 20:20
kernel加载模块的时候注册了sysfs项，通过/sys/modules/是可以找到的。

至于怎么卸载，关键是得把模块加 ...

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 20

程序设计版块每日发帖之星
日期:2015-08-17 06:20:00

程序设计版块每日发帖之星
日期:2016-07-16 06:20:00

程序设计版块每日发帖之星
日期:2016-07-18 06:20:00

每日论坛发贴之星
日期:2016-07-18 06:20:00

黑曼巴
日期:2016-12-26 16:00:32

15-16赛季CBA联赛之江苏
日期:2017-06-26 11:05:56

15-16赛季CBA联赛之上海
日期:2017-07-21 18:12:50

15-16赛季CBA联赛之青岛
日期:2017-09-04 17:32:05

15-16赛季CBA联赛之吉林
日期:2018-03-26 10:02:16

程序设计版块每日发帖之星
日期:2016-07-15 06:20:00

15-16赛季CBA联赛之江苏
日期:2016-07-07 18:37:51

2015亚冠之萨济拖拉机
日期:2015-08-17 12:21:08

16楼 [报告]

发表于 2015-07-13 10:04 |只看该作者

回复 14# sky__sea

/sys需要mount sysfs

之前笔误，是/sys/module，不是modules，没有s

全局变量modules没有导出，所以需要hack的手段确认其地址，例如通过System.map确定其地址，在代码里hard code对应的十六进制数。

或者假设加载模块的时候是在表头插入，那么this_modules的前一个list_head就是表头。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 1

操作系统版块每日发帖之星
日期:2015-11-29 06:20:00

17楼 [报告]

发表于 2015-07-13 17:13 |只看该作者

看得出来，nswcfd兄是高手，谢谢你的建议。但是通过System.map方式来获取的办法我不了解，难度有点大。倒是你说的第二种方法我也在考虑，可是如果确定首地址的确也是个问题，真麻烦。

nswcfd 发表于 2015-07-13 10:04
回复 14# sky__sea

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 1

操作系统版块每日发帖之星
日期:2015-11-29 06:20:00

18楼 [报告]

发表于 2015-07-14 09:27 |只看该作者

我把state状态置为MODULE_STATE_GOING，这样rmmod就无法卸载了，大家看看这种办法可行吗？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 20

程序设计版块每日发帖之星
日期:2015-08-17 06:20:00

程序设计版块每日发帖之星
日期:2016-07-16 06:20:00

程序设计版块每日发帖之星
日期:2016-07-18 06:20:00

每日论坛发贴之星
日期:2016-07-18 06:20:00

黑曼巴
日期:2016-12-26 16:00:32

15-16赛季CBA联赛之江苏
日期:2017-06-26 11:05:56

15-16赛季CBA联赛之上海
日期:2017-07-21 18:12:50

15-16赛季CBA联赛之青岛
日期:2017-09-04 17:32:05

15-16赛季CBA联赛之吉林
日期:2018-03-26 10:02:16

程序设计版块每日发帖之星
日期:2016-07-15 06:20:00

15-16赛季CBA联赛之江苏
日期:2016-07-07 18:37:51

2015亚冠之萨济拖拉机
日期:2015-08-17 12:21:08

19楼 [报告]

发表于 2015-07-15 21:27 |只看该作者

应该是可以的，这个想法不错，赞一个。

类似的，不想被卸载的方法还可以强制增加模块的引用计数（但那样会导致rmmod无法返回）。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 1

操作系统版块每日发帖之星
日期:2015-11-29 06:20:00

20楼 [报告]

发表于 2015-07-16 09:11 |只看该作者

悲剧了，有问题。suse9是可以的，但是suse11就不行，一直报错：ERROR: Removing 'secureProof': Device or resource busy。因为我这个模块有和另外一个进程通过netlink通讯，但是我杀死这个进程之后，吧引用计数置为0，还是不行，始终包这个错，没辙了。

nswcfd 发表于 2015-07-15 21:27
应该是可以的，这个想法不错，赞一个。

类似的，不想被卸载的方法还可以强制增加模块的引用计数（但那样 ...

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

123 / 3 页下一页

发新帖

Chinaunix › 论坛 › 程序设计 › 内核源码 › 关于内核模块卸载的问题

北京盛拓优讯信息技术有限公司. 版权所有京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号：11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员联系我们：huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP