我在内核模式下挂起execve(将system_call_table entry __NR_execve更改为我的函数)。我想查看ELF的汇编代码。如果它有害,我将直接返回而不执行它。
我正在编写一个linux模块。在Linux内核模式中,我想使用objdump来反汇编ELF文件。 我想进入用户模式执行objdump,然后返回内核模式。这可能吗? 谢谢。
答案 0 :(得分:2)
也许您可以将项目分成两部分:内核模块和用户空间应用程序。因此,您可以在内核中挂钩execve(),然后告诉您的应用程序有关钩子触发,然后对应用程序进行反汇编和检查,将计算结果发送回内核模块,然后继续或中断execve()执行。
如果您仍希望从内核运行objdump,请查看call_usermodhelper()。
另见this相关问题。