我正在尝试编写一些简单的测试代码作为挂钩系统调用表的演示。
“sys_call_table”不再导出2.6,所以我只是从System.map文件中获取地址,我可以看到它是正确的(通过我发现的地址查看内存,我可以看到指向系统调用的指针。)
但是,当我尝试修改此表时,内核会给出“Oops”,“无法在虚拟地址c061e4f4处理内核分页请求”并且机器重新启动。
这是运行2.6.18-164.10.1.el5的CentOS 5.4。是否有某种保护或我只是有一个错误?我知道SELinux附带了,我已经尝试将它放入许可模式,但它没有什么区别
这是我的代码:
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/moduleparam.h>
#include <linux/unistd.h>
void **sys_call_table;
asmlinkage int (*original_call) (const char*, int, int);
asmlinkage int our_sys_open(const char* file, int flags, int mode)
{
printk("A file was opened\n");
return original_call(file, flags, mode);
}
int init_module()
{
// sys_call_table address in System.map
sys_call_table = (void*)0xc061e4e0;
original_call = sys_call_table[__NR_open];
// Hook: Crashes here
sys_call_table[__NR_open] = our_sys_open;
}
void cleanup_module()
{
// Restore the original call
sys_call_table[__NR_open] = original_call;
}
答案 0 :(得分:54)
我终于找到了答案。
http://www.linuxforums.org/forum/linux-kernel/133982-cannot-modify-sys_call_table.html
内核在某些时候被更改,因此系统调用表是只读的。
<强> cypherpunk:
即使是迟到但解决方案 也可能对其他人感兴趣:在 entry.S文件你会发现:代码:
.section .rodata,"a" #include "syscall_table_32.S"sys_call_table - &gt; ReadOnly你必须这样做 如果你愿意,可以编译内核new 使用sys_call_table“hack”...
该链接还有一个将内存更改为可写的示例。
<强> nasekomoe:
大家好。谢谢你的回复。一世 很久以前解决了这个问题 修改对内存页面的访问。一世 已经实现了两个功能 这是我的上层代码:
#include <asm/cacheflush.h> #ifdef KERN_2_6_24 #include <asm/semaphore.h> int set_page_rw(long unsigned int _addr) { struct page *pg; pgprot_t prot; pg = virt_to_page(_addr); prot.pgprot = VM_READ | VM_WRITE; return change_page_attr(pg, 1, prot); } int set_page_ro(long unsigned int _addr) { struct page *pg; pgprot_t prot; pg = virt_to_page(_addr); prot.pgprot = VM_READ; return change_page_attr(pg, 1, prot); } #else #include <linux/semaphore.h> int set_page_rw(long unsigned int _addr) { return set_memory_rw(_addr, 1); } int set_page_ro(long unsigned int _addr) { return set_memory_ro(_addr, 1); } #endif // KERN_2_6_24
以下是适用于我的原始代码的修改版本。
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/moduleparam.h>
#include <linux/unistd.h>
#include <asm/semaphore.h>
#include <asm/cacheflush.h>
void **sys_call_table;
asmlinkage int (*original_call) (const char*, int, int);
asmlinkage int our_sys_open(const char* file, int flags, int mode)
{
printk("A file was opened\n");
return original_call(file, flags, mode);
}
int set_page_rw(long unsigned int _addr)
{
struct page *pg;
pgprot_t prot;
pg = virt_to_page(_addr);
prot.pgprot = VM_READ | VM_WRITE;
return change_page_attr(pg, 1, prot);
}
int init_module()
{
// sys_call_table address in System.map
sys_call_table = (void*)0xc061e4e0;
original_call = sys_call_table[__NR_open];
set_page_rw(sys_call_table);
sys_call_table[__NR_open] = our_sys_open;
}
void cleanup_module()
{
// Restore the original call
sys_call_table[__NR_open] = original_call;
}
答案 1 :(得分:24)
感谢Stephen,你的研究对我很有帮助。但是,我遇到了一些问题,因为我在2.6.32内核上尝试这个问题,然后获得WARNING: at arch/x86/mm/pageattr.c:877 change_page_attr_set_clr+0x343/0x530() (Not tainted)后跟内核OOPS无法写入内存地址。
上述行的评论指出:
// People should not be passing in unaligned addresses
以下修改后的代码有效:
int set_page_rw(long unsigned int _addr)
{
return set_memory_rw(PAGE_ALIGN(_addr) - PAGE_SIZE, 1);
}
int set_page_ro(long unsigned int _addr)
{
return set_memory_ro(PAGE_ALIGN(_addr) - PAGE_SIZE, 1);
}
请注意,在某些情况下,这仍然不会将页面设置为读/写。在static_protections()内调用的set_memory_rw()函数会在以下情况下删除_PAGE_RW标记:
我在调试后发现这个问题,为什么在尝试修改内核函数的地址时仍然“无法处理内核分页请求”。我最终能够通过自己查找地址的页表条目并手动将其设置为可写来解决该问题。值得庆幸的是,lookup_address()函数在2.6.26+版本中导出。这是我写的代码:
void set_addr_rw(unsigned long addr) {
unsigned int level;
pte_t *pte = lookup_address(addr, &level);
if (pte->pte &~ _PAGE_RW) pte->pte |= _PAGE_RW;
}
void set_addr_ro(unsigned long addr) {
unsigned int level;
pte_t *pte = lookup_address(addr, &level);
pte->pte = pte->pte &~_PAGE_RW;
}
最后,虽然Mark的答案在技术上是正确的,但在Xen内部运行时会出现问题。如果要禁用写保护,请使用读/写cr0函数。我像这样宏观他们:
#define GPF_DISABLE write_cr0(read_cr0() & (~ 0x10000))
#define GPF_ENABLE write_cr0(read_cr0() | 0x10000)
希望这有助于其他任何偶然发现这个问题的人。
答案 2 :(得分:18)
请注意,以下内容也可以使用而不是使用change_page_attr,并且不能折旧:
static void disable_page_protection(void) {
unsigned long value;
asm volatile("mov %%cr0,%0" : "=r" (value));
if (value & 0x00010000) {
value &= ~0x00010000;
asm volatile("mov %0,%%cr0": : "r" (value));
}
}
static void enable_page_protection(void) {
unsigned long value;
asm volatile("mov %%cr0,%0" : "=r" (value));
if (!(value & 0x00010000)) {
value |= 0x00010000;
asm volatile("mov %0,%%cr0": : "r" (value));
}
}
答案 3 :(得分:10)
如果您正在处理内核3.4及更高版本(它也可以使用早期内核,我没有测试它)我会建议一种更智能的方法来获取系统callы表位置。
例如
#include <linux/module.h>
#include <linux/kallsyms.h>
static unsigned long **p_sys_call_table;
/* Aquire system calls table address */
p_sys_call_table = (void *) kallsyms_lookup_name("sys_call_table");
就是这样。没有地址,它适用于我测试的每个内核。
您可以使用模块中未导出的内核函数的相同方法:
static int (*ref_access_remote_vm)(struct mm_struct *mm, unsigned long addr,
void *buf, int len, int write);
ref_access_remote_vm = (void *)kallsyms_lookup_name("access_remote_vm");
享受!