我目前正在研究一款针对Android的antiroot-kit作为学生项目。我的任务是识别文件系统上的隐藏文件。 因此,我想读取内核模块中目录的内容,将其与应用程序在usermode中看到的目录内容进行比较(可能是由rootkit审查)。我知道文件IO在内核模式下通常是一个坏主意,但我认为这可能是一个例外。
我使用filp_open打开文件并获取结构文件。有了这个,我就能得到文件的inode和dentry结构。我无法以这种方式获取目录的内容。我认为必须有一个功能。
我在stackoverflow上搜索并找到了vfs_readdir函数。问题是我还没有理解如何使用这个功能。我为filldir_t参数设置了什么以及我为缓冲区设置了什么?如何检索kernelmodule中目录的内容?有人可以提供一个例子吗?我在互联网和Linux内核中找不到一个简单的例子。