劫持内核函数do_gettimeofday为何总死机呢？

wuhuaguoshu

内核是2.6.15.4,想学习一下劫持内核函数的方法,于是写了一个模块劫持
arch/i386/kernel/time.c中的do_gettimeofday函数，
模块编译通过但是一旦加载就死机，
是因为此函数不能被劫持还是模块编写的有问题呢？
那位前辈大哥帮忙看看，不胜感激！！！！

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/init.h>
#include <linux/types.h>
#include <linux/string.h>
#include <linux/fs.h>
#include <linux/time.h>

void do_gettimeofday(struct timeval *tv)
{
  printk("been here ,but do nothing");
}
u_char tmp[5];

static int __init init(void)
{
        u_char *buf;
        long p;
        printk("Hi, i'll replace do_gettimeofday()...\n");

        buf = (u_char *)do_gettimeofday;
        p = (long)my_do_gettimeofday - (long)do_gettimeofday + (long)5;
        memcpy(tmp, buf, 5);
        buf[0] = 0xe9;
        memcpy( buf + 1, &p, 4);

        return 0;
}

static void __exit fini(void)
{
        u_char *buf;
        printk("Hi, i'll restore do_gettimeofday...\n");

        buf = (u_char *)do_gettimeofday;
        memcpy(buf, tmp, 5);
}

module_init(init);
module_exit(fini);
MODULE_LICENSE("GPL");

wuhuaguoshu

其实我完全是看了近期的一篇关于劫持函数的贴子后，
先作的是如下的模块，完全按照CLF的teawater兄的方法做的,
加载没问题,不会死机的,但改成另一个函数就老死机，怎末回事呢：
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/init.h>
#include <linux/types.h>
#include <linux/string.h>
#include <linux/fs.h> //register_chrdev

int my_register_chrdev(unsigned int major, const char *name, struct file_operations *fops)
{
        printk("Hi, do you really want to call register_chrdev?\n");
        return -1;
}

u_char tmp[5];

static int __init init(void)
{
        u_char *buf;
        long p;
        printk("Hi, i'll replace register_chrdev()...\n");

        buf = (u_char *)register_chrdev;
        p = (long)my_register_chrdev - (long)register_chrdev + (long)5;
        memcpy(tmp, buf, 5);
        buf[0] = 0xe9;
        memcpy( buf + 1, &p, 4);

        return 0;
}

static void __exit fini(void)
{
        u_char *buf;
        printk("Hi, i'll restore register_chrdev()...\n");

        buf = (u_char *)register_chrdev;
        memcpy(buf, tmp, 5);
}

module_init(init);
module_exit(fini);
MODULE_LICENSE("GPL");

snow_insky

请问各位高手，在Linux内核中，函数是如何定位的？
为什么如下这般覆盖一下就可以替换函数体？

buf = (u_char *)register_chrdev;
p = (long)my_register_chrdev - (long)register_chrdev + (long)5;
memcpy(tmp, buf, 5);
buf[0] = 0xe9;
memcpy( buf + 1, &p, 4);

先谢谢了！

albcamus

哪個0xe9是jmp指令， 無條件跳轉到新函數。
茶總自己說的

snow_insky

原帖由 albcamus 于 2006-5-11 10:36 发表
哪個0xe9是jmp指令， 無條件跳轉到新函數。
茶總自己說的

谢谢！了解了

jobman

估计是 do_gettimeofday 太常用了，导致的问题，你可以试试把struct timeval *tv置个确定的值或者直接调用原来的入口试试看，应该不会死机。

iolinux

buf = (u_char *)register_chrdev;
        p = (long)my_register_chrdev - (long)register_chrdev + (long)5;
        memcpy(tmp, buf, 5);
        buf[0] = 0xe9;
        memcpy( buf + 1, &p, 4);
上述
====>
jmp  (long)my_register_chrdev - (long)register_chrdev + (long)5;
内核空间直接就跳转到了my_register_chrdev.
至于do_gettimeofday，估计是系统需要不断的通过这个调用来获取时间，你把他改了以后系统无法获取时间。。而内核出错一般都会导致死机的。而register_chrdev，这个函数一般是用户在加载模块的时候主动调用的，所以不会出现死机的 情况。
。自己的理解，没有经过论证。请高手指正。

wuhuaguoshu

buf = (u_char *)register_chrdev;
        p = (long)my_register_chrdev - (long)register_chrdev + (long)5;
        memcpy(tmp, buf, 5);
        buf[0] = 0xe9;
        memcpy( buf + 1, &p, 4);

这里错了一处，应该是减去(long)5 ,我看到别人的贴子没搞明白就直接用了，又选择了do_gettimeofday这个系统不断使用的函数，所以老死机
按照楼上jobman所说我又试了试，不死了

感谢给与帮助的朋友们

snow_insky

还想问一下，为什么是跳转到这里：
jmp  (long)my_register_chrdev - (long)register_chrdev + (long)5；
而不是直接跳转到这里呢？
jmp  (long)my_register_chrdev;

snow_insky

memcpy( buf + 1, &p, 4);
不对吧，这句话的意思应该是跳转到p的地址处，和p的值是没有关系的。