System call interception in linux-kernel-module (kernel 3.5)

Muss ich ersetzen ein standard-system-Aufruf (z.B. SYS_mkdir) mit meine eigene Implementierung.

Als ich Las in einigen Quellen, einschließlich diese Frage auf Stackoverflow, die sys_call_table wird nicht exportiert symbol seit der kernel-version 2.6.

Habe ich versucht den folgenden code:

    #include <linux/module.h> 
    #include <linux/kernel.h> 
    #include <linux/unistd.h> 
    #include <asm/syscall.h> 

    int (*orig_mkdir)(const char *path); 

    ....

    int init_module(void) 
    { 
            orig_mkdir=sys_call_table[__NR_mkdir]; 
            sys_call_table[__NR_mkdir]=own_mkdir;  
            printk("sys_mkdir replaced\n"); 
            return(0); 
    } 

    ....

Leider erhalte ich compiler-Fehler:

 error: assignment of read-only location sys_call_table[83]’

Wie kann ich ersetzen die system call?

EDIT: gibt es eine Lösung ohne den kernel zu patchen?

  • versuchen mit Typ-cast zu char* dann zuweisen
  • kann sein dieser und dieser ist hilfreich für Sie
  • Es gibt keine universal-Lösung w/o Patches.
InformationsquelleAutor Alex | 2012-12-14
  1. 7

    dies funktioniert für mich.

    Sehen
    Linux-Kernel: System call hooking Beispiel
    und
    https://bbs.archlinux.org/viewtopic.php?id=139406

    asmlinkage long (*ref_sys_open)(const char __user *filename, int flags, umode_t mode);
asmlinkage long new_sys_open(const char __user *filename, int flags, umode_t mode)
{
  return ref_sys_open(filename, flags, mode);
}

static unsigned long **aquire_sys_call_table(void)
{
  unsigned long int offset = PAGE_OFFSET;
  unsigned long **sct;

  while (offset < ULLONG_MAX) {
    sct = (unsigned long **)offset;

    if (sct[__NR_close] == (unsigned long *) sys_close) 
      return sct;

    offset += sizeof(void *);
  }
  print("Getting syscall table failed. :(");
  return NULL;
}


//Crazy copypasted asm stuff. Could use linux function as well...
//but this works and will work in the future they say.
static void disable_page_protection(void) 
{
  unsigned long value;
  asm volatile("mov %%cr0, %0" : "=r" (value));

  if(!(value & 0x00010000))
    return;

  asm volatile("mov %0, %%cr0" : : "r" (value & ~0x00010000));
}

static void enable_page_protection(void) 
{
  unsigned long value;
  asm volatile("mov %%cr0, %0" : "=r" (value));

  if((value & 0x00010000))
    return;

  asm volatile("mov %0, %%cr0" : : "r" (value | 0x00010000));
}


static int __init rootkit_start(void) 
{

  //Hide me

  print("loaded");

  if(!(sys_call_table = aquire_sys_call_table()))
    return -1;

  disable_page_protection(); 
  {
    ref_sys_open = (void *)sys_call_table[__NR_open];
    sys_call_table[__NR_open] = (unsigned long *)new_sys_open;
  }
  enable_page_protection();
  return 0;
}

static void __exit rootkit_end(void) 
{
  print("exiting");

  if(!sys_call_table) {
    return;
  }

  disable_page_protection();
  {
    sys_call_table[__NR_open] = (unsigned long *)ref_sys_open;
  }
  enable_page_protection();
}
    InformationsquelleAutor domenukk
  2. 6

    Ja, es ist eine Lösung ohne Patch/Wiederaufbau der kernel. Verwenden Sie die Kprobes Infrastruktur (oder SystemTap).

    Dieser ermöglicht wird, die "Sonden" (Funktionen) an jedem Punkt(s) innerhalb des Kernels, durch ein kernel-Modul.

    Macht ähnliche Sachen durch ändern der sys_call_table wird nun verhindert (es ist read-only) & ist als ein dirty hack! Kprobes/Jprobes/etc sind eine "saubere" Art und Weise, dies zu tun..Auch die Dokumentation und Proben in der kernel source-tree ist hervorragend (Blick unter das kernel-src-tree- Documentation/kprobes.txt).

    • kprobes/systemtap lassen Sie nicht ersetzen die system-call-handler, aber kann es ergänzen / vorausgehen.
    • Hey, kprobes verwendet patchen 🙂
    • ja, ich bin einverstanden. Der Punkt war, dass der Effekt ähnlich ist.. @ IlyaMatveychikov: AFAIK Nein, kprobes ist ein kernel-feature; Sie brauchen nicht, um es anzuwenden patch. Auch die meisten Distributionen haben kprobes aktiviert..
    InformationsquelleAutor kaiwan
  3. 0

    Zuerst müssen Sie bestimmen die Lage der sys_call_table. Sehen hier.

    Bevor Sie schreiben, in dem sich nur der system-Tabelle, die Sie haben, um Ihre Speicher-Seiten beschreibbar. Für, dass der check hier und wenn das nicht funktioniert, versuchen Sie diese.

    InformationsquelleAutor LubosD
  4. 0

    Verwenden LSM infrustructure.

    Blick auf LSM hooks path_mkdir oder inode_mkdir für details. Eine Frage, die gelöst werden muss, ist, wie die Registrierung Ihrer eigenen LSM-Modul, während das system nicht erlauben es ausdrücklich. Siehe die Antwort für details hier:

    Wie kann ich umsetzen, meine eigene hook-Funktion mit LSM?

    InformationsquelleAutor Ilya Matveychikov
  5. 0

    Wird das problem verursacht, aufgrund der Tatsache, dass sys_call_table ist nur Lesen. Um zu vermeiden, dass die Fehler, vor dem Bearbeiten der sys_call_table, Sie haben, um es beschreibbar als gut. Der kernel bietet eine Funktion, um es zu erreichen. Und diese Funktion ist gegeben als set_mem_rw().

    Fügen Sie einfach den folgenden code-snippet vor dem Bearbeiten der sys_call_table

    set_mem_rw((long unsigned int)sys_call_table,1);

    In der exit-Funktion des kernel-Moduls,bitte vergessen Sie nicht, wieder zurück, der sys_call_table zurück auf nur Lesen.Es kann erreicht werden, wie unten beschrieben.

    set_mem_ro((long unsigned int)sys_call_table,1);
    InformationsquelleAutor PaulDaviesC
Schreibe einen Kommentar