免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 程序设计 内核源码 32位中hook sys_execve 为什么导致crash,求指点!
最近访问板块 发新帖
查看: 2325 | 回复: 4
打印 上一主题 下一主题

[内核模块] 32位中hook sys_execve 为什么导致crash,求指点! [复制链接]

Jacob_linux

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2015-12-07 14:45 |只看该作者 |倒序浏览
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/fdtable.h>
#include <linux/binfmts.h>
#include <linux/syscalls.h>
#include <linux/dirent.h>
#include <linux/dcache.h>
#include <linux/mount.h>
#include <linux/fs_struct.h>
#include <asm/unistd_32.h>


static unsigned long  sys_call_tab   =0x0000000000000000;
module_param(sys_call_tab,  ulong, S_IRUGO);


typedef asmlinkage long (*SYS_EXECVE)(const char __user *filename,
                           const char __user *const __user *argv,
                           const char __user *const __user *envp,
                           struct pt_regs *regs);

SYS_EXECVE old_sys_execve;

static long clear_and_return_cr0(void)
{
        unsigned long cr0 = 0;
        unsigned long ret = 0;

        asm volatile ("movl %%cr0, %%eax":"=a"(cr0));
        ret = cr0;
        cr0 &=0xfffeffff;
        asm volatile ("movl %%eax, %%cr0"
                :
                : "a"(cr0));
        return ret;
}

void setback_cr0(unsigned int val)
{
        asm volatile ("movl %%eax, %%cr0"
                :
                : "a"(val));
}

asmlinkage long new_sys_execve(const char __user *filename,
                           const char __user *const __user *argv,
                           const char __user *const __user *envp,
                           struct pt_regs *regs)
{       
        return old_sys_execve(filename , argv, envp, regs);
}
int __init monitor_init(void)
{
        unsigned int   orig_cr0 = 0;
        unsigned long* sys_call_table = sys_call_tab;

        old_sys_execve = (SYS_EXECVE)sys_call_table[__NR_execve];
       
       
        orig_cr0 = clear_and_return_cr0();
        sys_call_table[__NR_execve] = new_sys_execve;
        setback_cr0(orig_cr0);

        printk("sys_execve : %p , syscall : %p __NR_execve : %d\n", old_sys_execve, sys_call_table, __NR_execve);
        return 0;
}

void __exit monitor_exit(void)
{
        unsigned int orig_cr0 = 0;
        unsigned long* sys_call_table = sys_call_tab;

        orig_cr0 = clear_and_return_cr0();
        sys_call_table[__NR_execve] = old_sys_execve;
        setback_cr0(orig_cr0);
       
        return;
}

module_init(monitor_init);
module_exit(monitor_exit);

MODULE_LICENSE("GPL");
Jacob_linux

论坛徽章:
0
2 [报告]
发表于 2015-12-07 15:08 |只看该作者
那位大神帮看看,   系统调用表地址,我是直接传进去的 ,  打印出的old_sys_execve地址, 其实是符号表中的ptregs_execve,   我在钩子函数new_sys_execve中return 0 ;就不会crash ,但是什么都做不了了,  如果我像上面那么返回,就会出crash。什么问题呢
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
macwe

论坛徽章:
0
3 [报告]
发表于 2015-12-31 13:39 |只看该作者
把crash信息贴出来。。。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
shiweixingcn

论坛徽章:
0
4 [报告]
发表于 2016-01-02 18:12 |只看该作者
sys_call_table在很早以前就是只读属性了吧,所以如果你这么做的话可能需要把它变为可写,然后再做,不过为什么会出现这个现象需要看crash的log才能确认。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
macwe

论坛徽章:
0
5 [报告]
发表于 2016-01-11 12:19 |只看该作者
execute系统调用的调用路径是stub_execve(entry_64.S)->sys_execve, stub_execve函数不符合gcc的调用约定,你的hook函数会导致栈不平衡。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP