Linux系统可卸载内核模块完全指南(中)

• 关 键 词：
• director
• linux系统
• hacker
• syslog
• 系统管理员

　　上期我们讲了《Linux系统可卸载内核模块完全指南（上）》的内容，本期我们讲中间部份的内容。

　　第二部分 渐入佳境

　　2.1 如何截获系统调用

　　现在我们开始入侵LKM，在正常情况下LKMs是用来扩展内核的(特别是那些硬件驱动)。然而我们的‘Hacks’做一些不一样的事情。他们会截获系统调用并且更改他们，为了改变系统某些命令的响应方式。

　　下面的这个模块可以使得任何用户都不能创建目录。这只不过是我们随后方法的一个小小演示。

　　#define MODULE

　　#define __KERNEL__

　　#include

　　#include

　　#include

　　#include

　　#include

　　#include

　　#include

　　#include

　　#include

　　#include

　　#include

　　#include

　　#include

　　extern void* sys_call_table[];

　　/*sys_call_talbe 被引入，所以我们可以存取他*/

　　int (*orig_mkdir)(const char *path);

　　/*原始系统调用*/

　　int hacked_mkdir(const char *path)

　　{

　　return 0;

　　/*其他一切正常，除了新建操作，该操作什么也不做*/

　　}

　　int init_module(void)

　　/*初始化模块*/

　　{

　　orig_mkdir=sys_call_table[SYS_mkdir];

　　sys_call_table[SYS_mkdir]=hacked_mkdir;

　　return 0;

　　}

　　void cleanup_module(void)

　　/*卸载模块*/

　　{

　　sys_call_table[SYS_mkdir]=orig_mkdir;

　　/*恢复mkdir系统调用到原来的哪个*/

　　}

　　编译并启动这个模块(见1.1)。然后尝试新建一个目录，你会发现不能成功。由于返回值是0(代表一切正常)我们得不到任何出错信息。在移区模块之后，我们又可以新建目录了。正如你所看到的，我们只需要改变sys_call_table(见1.2)中相对应的入口就可以截获到系统调用了。

　　截获系统调用的通常步骤如下:

　　找到你需要的系统调用在sys_call_table[]中的入口(看一眼include/sys/syscall.h)

　　保存sys_call_table[x]的旧入口指针。(在这里x代表你所想要截获的系统调用的索引)

　　将你自己定义的新的函数指针存入sys_call_table[x]

　　你会意识到保存旧的系统调用指针是十分有用的，因为在你的新调用中你会需要他来模拟原始调用。当你在写一个'Hack-LKM'时你所面对的第一个问题是:

　　我到底该截获哪个系统调用?保留：： http://www.qqread.com/linux/y841248206.html 更多内容请看系统优化大全、系统安全设置、系统安装手册专题，或进入讨论组讨论。

【深 度 阅 读】 相 关 文 章

• 一个Linux爱好者的2.6.11内核编译过程
• 详解Linux 2.6内核新变化
• Linux内核模块编程指南(一)
• Linux 系统内核的调试