我试图钩住sys_open和其他一些系统调用以拦截x86_64上的内核4.17 / 4.18上的文件系统活动。
/proc/kallsyms显示__x64_sys_open,但不显示ksys_open。
不确定是否需要钩住ksys_open或__x64_sys_open
我收到sys_open和__x64_sys_open的'undelcared identifier'的编译错误。
我需要包含哪些正确的标题?
与sys_open一起,我需要钩住sys_creat,sys_openat,sys_execve,sys_truncate,sys_ftruncate,sys_write等...
在内核4.17之前,我能够找到sys_xyz的符号,但是从内核4.17开始,我不确定是否需要钩住__x64_sys_xyz或ksys_xyz或{{ 1}}。
在sys_xyz中,某些系统调用用syscalls.h声明
请帮助,谢谢
库马尔T