手把手教你|拦截系统调用
一、什么是系统调用
系统调用
是内核提供给应用程序使用的功能函数,由于应用程序一般运行在 用户态
,处于用户态的进程有诸多限制(如不能进行 I/O 操作),所以有些功能必须由内核代劳完成。而内核就是通过向应用层提供 系统调用
,来完成一些在用户态不能完成的工作。
说白了,系统调用其实就是函数调用,只不过调用的是内核态的函数。但与普通的函数调用不同,系统调用不能使用 call
指令来调用,而是需要使用 软中断
来调用。在 Linux 系统中,系统调用一般使用 int 0x80
指令(x86)或者 syscall
指令(x64)来调用。
下面我们以 int 0x80
指令(x86)调用方式为例,来说明系统调用的原理。
二、系统调用原理
在 Linux 内核中,使用 sys_call_table
数组来保存所有系统调用,sys_call_table
数组每一个元素代表着一个系统调用的入口,其定义如下:
typedef void (*sys_call_ptr_t)(void);const sys_call_ptr_t sys_call_table[__NR_syscall_max+1] = {...
};
当应用程序需要调用一个系统调用时,首先需要将要调用的系统调用号(也就是系统调用所在 sys_call_table
数组的索引)放置到 eax
寄存器中,然后通过使用 int 0x80
指令触发调用 0x80
号软中断服务。
0x80
号软中断服务,会通过以下代码来调用系统调用,如下所示:
...
call *sys_call_table(,%eax,8)
...
上面的代码会根据 eax
寄存器中的值来调用正确的系统调用,其过程如下图所示:
三、系统调用拦截
了解了系统调用的原理后,要拦截系统调用就很简单了。那么如何拦截呢?
做法就是:我们只需要把 sys_call_table
数组的系统调用换成我们自己编写的函数入口即可。比如,我们想要拦截 write()
系统调用,那么只需要将 sys_call_table
数组的第一个元素换成我们编写好的函数(因为 write()
系统调用在 sys_call_table
数组的索引为1)。
要修改 sys_call_table
数组元素的值,步骤如下:
1. 获取 sys_call_table
数组的地址
要修改
sys_call_table
数组元素的值,一般需要通过内核模块来完成。因为用户态程序由于内存保护机制,不能改写内核态的数据。而内核模块运行在内核态,所以能够跳过这个限制。
要修改 sys_call_table
数组元素的值,首先要获取 sys_call_table
数组的虚拟内存地址(由于 sys_call_table
变量不是一个导出符号,所以内核模块不能直接使用)。
要获取 sys_call_table
数组的虚拟内存地址有两种方法:
第一种方法:从 System.map
文件中读取
System.map
是一份内核符号表,包含了内核中的变量名和函数名地址,在每次编译内核时,自动生成。获取 sys_call_table
数组的虚拟地址使用如下命令:
sudo cat /boot/System.map-`uname -r` | grep sys_call_table
结果如下图所示:
从上图可知,sys_call_table
数组的虚拟地址为:ffffffff818001c0
。
第二种方法:通过 kallsyms_lookup_name()
函数来获取
从 System.map
文件中读取的方法不是很优雅,所以内核提供了一个名为 kallsyms_lookup_name()
的函数来获取内核变量和内核函数的虚拟内存地址。
kallsyms_lookup_name()
函数的使用很简单,只需要传入要获取虚拟内存地址的变量名即可,如下代码所示:
#include <linux/kallsyms.h>void func() {...unsigned long *sys_call_table;// 获取 sys_call_table 的虚拟内存地址sys_call_table = (unsigned long *)kallsyms_lookup_name("sys_call_table");...
}
2. 设置 sys_call_table 数组为可写状态
是不是获取到 sys_call_table
数组的虚拟地址就可以修改其元素的值呢?没那么简单。
由于 sys_call_table
数组处于写保护区域,并不能直接修改其内容。但有两种方法可以将写保护暂时关闭,如下:
第一种方法:将 cr0
寄存器的第 16 位设置为零
cr0
控制寄存器的第 16 位是写保护位,若设置为零,则允许超级权限往内核中写入数据。这样我们可以在修改 sys_call_table
数组的值前,将 cr0
寄存器的第 16 位清零,使其可以修改 sys_call_table
数组的内容。当修改完后,又将那一位复原即可。
代码如下:
/** 设置cr0寄存器的第16位为0*/
unsigned int clear_and_return_cr0(void)
{unsigned int cr0 = 0;unsigned int ret;/* 将cr0寄存器的值移动到rax寄存器中,同时输出到cr0变量中 */asm volatile ("movq %%cr0, %%rax" : "=a"(cr0));ret = cr0;cr0 &= 0xfffeffff; /* 将cr0变量值中的第16位清0,将修改后的值写入cr0寄存器 *//* 读取cr0的值到rax寄存器,再将rax寄存器的值放入cr0中 */asm volatile ("movq %%rax, %%cr0" :: "a"(cr0));return ret;
}/** 还原cr0寄存器的值为val*/
void setback_cr0(unsigned int val)
{asm volatile ("movq %%rax, %%cr0" :: "a"(val));
}
第二种方法:设置虚拟地址对应页表项的读写属性
由于 x86 CPU
的内存保护机制是通过虚拟内存页表来实现的(可以参考这篇文章:漫谈内存映射),所以我们只需要把 sys_call_table
数组的虚拟内存页表项中的保护标志位清空即可,代码如下:
/** 把虚拟内存地址设置为可写*/
int make_rw(unsigned long address)
{unsigned int level;//查找虚拟地址所在的页表地址pte_t *pte = lookup_address(address, &level);if (pte->pte & ~_PAGE_RW) //设置页表读写属性pte->pte |= _PAGE_RW;return 0;
}/** 把虚拟内存地址设置为只读*/
int make_ro(unsigned long address)
{unsigned int level;pte_t *pte = lookup_address(address, &level);pte->pte &= ~_PAGE_RW; //设置只读属性return 0;
}
3. 修改 sys_call_table
数组的内容
万事俱备,只欠东风。前面我们把准备工作都做完了,现在只需要把 sys_call_table
数组中的系统调用入口替换成我们编写的函数入口即可。
我们可以在内核模块初始化函数修改 sys_call_table
数组的值,然后在内核模块退出函数改回成原来的值即可,完整代码如下:
/** File: syscall.c*/#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/init.h>
#include <linux/unistd.h>
#include <linux/time.h>
#include <asm/uaccess.h>
#include <linux/sched.h>
#include <linux/kallsyms.h>unsigned long *sys_call_table;unsigned int clear_and_return_cr0(void);
void setback_cr0(unsigned int val);
static int sys_hackcall(void);unsigned long *sys_call_table = 0;/* 定义一个函数指针,用来保存原来的系统调用*/
static int (*orig_syscall_saved)(void);/** 设置cr0寄存器的第16位为0*/
unsigned int clear_and_return_cr0(void)
{unsigned int cr0 = 0;unsigned int ret;/* 将cr0寄存器的值移动到rax寄存器中,同时输出到cr0变量中 */asm volatile ("movq %%cr0, %%rax" : "=a"(cr0));ret = cr0;cr0 &= 0xfffeffff; /* 将cr0变量值中的第16位清0,将修改后的值写入cr0寄存器 *//* 读取cr0的值到rax寄存器,再将rax寄存器的值放入cr0中 */asm volatile ("movq %%rax, %%cr0" :: "a"(cr0));return ret;
}/** 还原cr0寄存器的值为val*/
void setback_cr0(unsigned int val)
{asm volatile ("movq %%rax, %%cr0" :: "a"(val));
}/** 自己编写的系统调用函数*/
static int sys_hackcall(void)
{printk("Hack syscall is successful!!!\n");return 0;
}/** 模块的初始化函数,模块的入口函数,加载模块时调用*/
static int __init init_hack_module(void)
{int orig_cr0;printk("Hack syscall is starting...\n");/* 获取 sys_call_table 虚拟内存地址 */sys_call_table = (unsigned long *)kallsyms_lookup_name("sys_call_table");/* 保存原始系统调用 */orig_syscall_saved = (int(*)(void))(sys_call_table[__NR_perf_event_open]);orig_cr0 = clear_and_return_cr0(); /* 设置cr0寄存器的第16位为0 */sys_call_table[__NR_perf_event_open] = (unsigned long)&sys_hackcall; /* 替换成我们编写的函数 */setback_cr0(orig_cr0); /* 还原cr0寄存器的值 */return 0;
}/** 模块退出函数,卸载模块时调用*/
static void __exit exit_hack_module(void)
{int orig_cr0;orig_cr0 = clear_and_return_cr0();sys_call_table[__NR_perf_event_open] = (unsigned long)orig_syscall_saved; /* 设置为原来的系统调用 */setback_cr0(orig_cr0);printk("Hack syscall is exited....\n");
}module_init(init_hack_module);
module_exit(exit_hack_module);
MODULE_LICENSE("GPL");
在上面代码中,我们将 perf_event_open()
系统调用替换成了我们自己实现的函数。
注意:测试时最好使用冷门的系统调用,否则可能会导致系统崩溃。
4. 编写 Makefile 文件
为了编译方便,我们编写一个 Makefile 文件来进行编译,如下所示:
obj-m:=syscall.o
PWD:= $(shell pwd)
KERNELDIR:= /lib/modules/$(shell uname -r)/build
EXTRA_CFLAGS= -O0all:make -C $(KERNELDIR) M=$(PWD) modules
clean:make -C $(KERNELDIR) M=$(PWD) clean
要注意添加 EXTRA_CFLAGS= -O0
关闭 gcc 优化选项,避免插入模块出错。
5. 测试程序
现在,我们编写一个测试程序来测试一下系统调用拦截是否成功,代码如下:
#include <syscall.h>
#include <stdio.h>
#include <unistd.h>int main(void)
{unsigned long ret = syscall(__NR_perf_event_open, NULL, 0, 0, 0, 0);printf("%d\n", (int)ret);return 0;
}
6. 运行结果
第一步:安装拦截内核模块
使用以下命令安装内核模块:
root# insmod syscall.ko
然后通过 dmesg
命令来观察系统日志,可以看到以下输出:
...
[ 133.564652] Hack syscall is starting...
这说明我们的内核模块安装成功。
第二步:运行测试程序
接着,我们运行刚才编写的测试程序,然后观察系统日志,输出如下:
...
[ 532.243714] Hack syscall is successful!!!
这说明拦截系统调用成功了。
手把手教你|拦截系统调用相关推荐
- 手把手教你拦截Linux系统调用
一.什么是系统调用 系统调用 是内核提供给应用程序使用的功能函数,由于应用程序一般运行在 用户态,处于用户态的进程有诸多限制(如不能进行 I/O 操作),所以有些功能必须由内核代劳完成.而内核就是通过 ...
- skywalking原理_Skywalking系列博客6手把手教你编写 Skywalking 插件
点击上方 IT牧场 ,选择 置顶或者星标技术干货每日送达! 前置知识 在正式进入编写环节之前,建议先花一点时间了解下javaagent(这是JDK 5引入的一个玩意儿,最好了解下其工作原理):另外,S ...
- 手把手教你玩转SOCKET模型:完成端口(Completion Port)详解
这篇文档我非常详细并且图文并茂的介绍了关于网络编程模型中完成端口的方方面面的信息,从API的用法到使用的步骤,从完成端口的实现机理到实际使用的注意事项,都有所涉及,并且为了让朋友们更直观的体会完成端口 ...
- 手把手教你写Linux I2C设备驱动
手把手教你写Linux I2C设备驱动 标签:Linux 设备 驱动 详解 i2c 原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http:/ ...
- 手把手教你学习网络编程(1)
手把手教你学习网络编程(1) 目录: 1) 什么是套接字? 2) Internet 套接字的两种类型 3) 网络理论 4) 结构体 5) 本机转换 6) IP 地址和如何处理它们 7) socket( ...
- Android:手把手教你打造可缩放移动的ImageView(下)
在上一篇Android:手把手教你打造可缩放移动的ImageView最后提出了一个注意点:当自定义的MatrixImageView如ViewPager.ListView等带有滑动效果的ViewGrou ...
- 手把手教你iPhone 3G手机软件开发
手把手教你iPhone 3G手机软件开发 "iPhone 是一款革命性的.不可思议的产品,比市场上其它任何移动电话整整领先了五年,"苹果公司首席执行官史蒂夫·乔布斯如是说,&quo ...
- 苹果手机计算机网络设置,苹果手机上网速度慢怎么办!手把手教你如何解决
原标题:苹果手机上网速度慢怎么办!手把手教你如何解决 现在有很多朋友都在使用苹果电脑,觉得操作比较快,上网速度也不错.但是,最近有位朋友在使用苹果手机的时候,发现网速很慢,上网严重受影响,不知道怎么去 ...
- 还没理解微前端?手把手教你实现一个迷你版
大厂技术 高级前端 Node进阶 点击上方 程序员成长指北,关注公众号 回复1,加入高级Node交流群 最近看了几个微前端框架的源码(single-spa[1].qiankun[2].micro- ...
最新文章
- Ubuntu14.04安装Torch7笔记
- server2016安装mysql_windows server2016安装MySQL5.7.19解压缩版教程详解
- 前端学习(2026)vue之电商管理系统电商系统之实现分页功能
- elm具体实现过程_函数式编程中的战斗机(二)---elm语言MUV设计模式应用实例...
- ansible概念以及基础(一)
- php oracle 8.1.7,Oracle 8.1.7在redhat 7.3的安装方法
- SVD奇异值分解(PCA,LSI)
- CodeForces - 801C Voltage Keepsake 二分
- USB Device Desctiptor 相关
- java在线ide_程序猿专用十大在线编译器(IDE)整理
- 刘晓艳老师的考研单词记忆
- 请教刷机教程9008线刷
- 一个简单的jxl文件上传功能
- 《炬丰科技-半导体工艺》 自对准栅氧化镓金属氧化物半导体晶体管
- RWEQ模型土壤风蚀模数估算及其变化归因分析实践技术
- R语言在图上标出点坐标_R语言做图plot参数
- 处理大数据的关键技术及应用
- Photoshop中的填充功能
- 2008年度回顾:决胜路由应用时代
- 用AntlR4实现简单的汇编编译器