Jprobe去做' do_execve'在Ubuntu 14上工作但在Ubuntu 12上工作

时间:2015-03-23 12:30:31

标签: c linux ubuntu execve jprobe

我正在尝试使用Jprobes在Linux内核上执行函数'do_execve()'的挂钩,但我遇到了某些系统的问题。我尝试使用我在Ubuntu 12,64位(内核版本3.11)上在线找到的代码:

Hook.c:

/* Trace do_execv.  Taken basically from Documentation/kprobes.txt */
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/sched.h>
#include <linux/kprobes.h>
#include <linux/kallsyms.h>

/*
 * Pre-entry point for do_execve.
 */
static int my_do_execve(char * filename,
                        char __user *__user *argv,
                        char __user *__user *envp,
                        struct pt_regs * regs)
{
        printk("do_execve for %s from %s\n", filename, current->comm);
        /* Always end with a call to jprobe_return(). */
        jprobe_return();
        /*NOTREACHED*/
        return 0;
}

static struct jprobe my_jprobe = {
        .entry = (kprobe_opcode_t *) my_do_execve
};

int init_module(void)
{
        int ret;
        my_jprobe.kp.addr = 
                (kprobe_opcode_t *) kallsyms_lookup_name("do_execve");
        if (!my_jprobe.kp.addr) {
                printk("Couldn't find %s to plant jprobe\n", "do_execve");
                return -1;
        }

        if ((ret = register_jprobe(&my_jprobe)) <0) {
                printk("register_jprobe failed, returned %d\n", ret);
                return -1;
        }
        printk("Planted jprobe at %p, handler addr %p\n",
               my_jprobe.kp.addr, my_jprobe.entry);
        return 0;
}

void cleanup_module(void)
{
        unregister_jprobe(&my_jprobe);
        printk("jprobe unregistered\n");
}

MODULE_LICENSE("GPL");

生成文件:

# This is taken straight from Documentation/kprobes.txt

obj-m := trace-exec.o
KDIR := /lib/modules/$(shell uname -r)/build
PWD := $(shell pwd)
default:
    $(MAKE) -C $(KDIR) SUBDIRS=$(PWD) modules
clean:
    rm -f *.mod.c *.ko *.o

该模块按预期工作。它首先在系统上正确编译,然后插入函数'insmod'(具有ROOT权限)。运行dmesg显示正确的输出:

Planted Jprobes at [ADDRESS HERE], handler addr [ADDRESS HERE]
do_execve for /bin/sh from wcstatusd [PRINTED FOR ANY EXECUTED PROCESS]

当我在Ubuntu 14,64位(内核版本3.13)系统上尝试相同的代码时出现问题。我在系统上重新编译并插入它就像我在之前的系统上那样插入它,但是这次它没有工作。我没有收到任何错误,并且打印了成功消息(“在这里[在这里设置了种植的jprobe],处理程序地址[这里是地址]”),但是没有打印“do_execve”行。我扫描了Google但无法找到解释或解决方案。有什么想法吗?

注意:我也尝试在Ubuntu 14上挂钩'do_fork()'并且它有效!它只是'do_execve()'的东西,我无法想象什么!

1 个答案:

答案 0 :(得分:2)

do_execve()的定义在exec.c中 http://lxr.free-electrons.com/source/fs/exec.c?v=3.11#L1584

这是do_execve()的代码。只需在

之后添加一行即可 
int do_execve(struct filename *filename,const char __user *const __user *__argv,const char __user *const __user *__envp)
{
       struct user_arg_ptr argv = { .ptr.native = __argv };
       struct user_arg_ptr envp = { .ptr.native = __envp };
       return do_execveat_common(AT_FDCWD, filename, argv, envp, 0);
}
EXPORT_SYMBOL(do_execve);  // Add this line.

这个文件将在linux / fs / exec.c中。在功能完成后添加EXPORT_SYMBOL()行。然后执行make,make install和reboot。 它几乎就像挂钩,因为我们必须再次构建和安装内核。假设您没有通过在运行时修改系统调用地址来拦截调用。

相关问题
最新问题