截获execve系统调用，为什么出现“段错误”

vfvf

在linux下，使用LKM截获execve系统调用，编写新的new_execve系统调用时，为什么出现“段错误”呢？就算new_execve函数体内什么都不做，只返回原

来的execve系统调用，也会出现“段错误”。而截获其它的系统调用如open, read等都没问题。不知是不是new_execve函数参数传递有什么不

对的地方，请各位多多帮忙。多谢多谢了。

   代码是这样的：
   ……
   ……
   int new_execve(const char *filename,const char *argv[],const char *envp[])
  {
     return (*old_execve)(filename,argv,envp);
   }
   int init_module()
   {
     SYS_CALL_TABLE_ADDR=getscTable();
     sys_call_table=(void **)SYS_CALL_TABLE_ADDR;
     old_execve=sys_call_table[__NR_execve];
     sys_call_table[__NR_execve]=new_execve;
     return 0;
   }
   int cleanup_module()
   {
     sys_call_table[__NR_execve]=old_execve;
     return 0;
    }

albcamus

编译时加上-fomit-frame-pointer试试

richardhesidu

  int new_execve(const char *filename,const char *argv[],const char *envp[])
{
    return (*old_execve)(filename,argv,envp);
  }

这段代码有点问题

jobman

1. int new_execve(const char *filename,const char *argv[],const char *envp[])
   
2. {
   
3.     return (*old_execve)(filename,argv,envp);
   
4.   }

复制代码

这段不对，参看 sys_execve 原型声明，
另外，在 2。6。11 之前，请使用 do_execve 来完成截获，参看核心源码。

vfvf

编译时加上-fomit-frame-pointer还是不行。
execve系统调用的 原型声明就是这样的：
int execve(const char *filename,const char *argv[],const char *envp[]);
我觉得也肯定是我编的这个函数
int new_execve(const char *filename,const char *argv[],const char *envp[])
{
   return (*old_execve)(filename,argv,envp);
}
参数的问题，但不知应该是什么。请问要是用do_execve来实现怎么在LKM中用呢？万分感激

jobman

这是2。6 的，2。4的可以自己看，变化不大，就是锁粒度小了。

1. asmlinkage int sys_execve(struct pt_regs regs)
   
2. {
   
3.         int error;
   
4.         char * filename;
   
5. 
   
6.         filename = getname((char __user *) regs.ebx);
   
7.         error = PTR_ERR(filename);
   
8.         if (IS_ERR(filename))
   
9.                 goto out;
   
10.         error = do_execve(filename,
    
11.                 (char __user * __user *) regs.ecx,
    
12.                 (char __user * __user *) regs.edx,
    
13.                 &regs);
    
14.         if (error == 0) {
    
15.                 task_lock(current);
    
16.                 current->;ptrace &= ~PT_DTRACE;
    
17.                 task_unlock(current);
    
18.                 /* Make sure we don't return using sysenter.. */
    
19.                 set_thread_flag(TIF_IRET);
    
20.         }
    
21.         putname(filename);
    
22. out:
    
23.         return error;
    
24. }

复制代码

我总是奇怪，他们为什么那么自信哪？

vfvf

嗯，没错，用do_execve()可以实现，可是为什么不能和截获其他的系统调用一样，用(*old_execve)(filename,argv,envp); 来实现呢？

glinzx

段错误一般是因为指针的问题引起的。

albcamus

原帖由 vfvf 于 2005-8-20 20:17 发表
嗯，没错，用do_execve()可以实现，可是为什么不能和截获其他的系统调用一样，用(*old_execve)(filename,argv,envp); 来实现呢？

明白了， 这是因为sys_execve传给do_execve的是一个解构， 而非指针，（这个时候内核栈只有一个pt_regs结构，就是sys_execve的参数） do_execve会直接操作内核栈， 而新的进程返回到用户空间时， 会根据内核栈上的内容执行……于是不可能找到解析器之类……

以前的一个nonexecstack补丁通过栈拷贝解决了这个问题， 可是代码太简洁了，目前还没弄懂， 而且它的一些写法gcc4不支持了。

思一克

do_execve是系统调用入口吗？ sys_