之前已经写过几篇关于linux下hook系统调用的文章:
x86_64下系列hook文章:
hook系统调用完整实例
Linux系统中获取系统调用表(system call table)地址的几种方法
Linux Hook系统调用(适用于RHEL/CentOS8.x 基于4.18.0内核版本)
Linux内核 hook execve系统调用(监控应用程序启动行为)
Linux下监控所有进程的退出事件
arm64下hook文章:
Linux ARM64平台上Hook系统调用(以openat为例)
以上基于x86_64的那几篇可以参考arm64hook的方法移植到arm64平台上。
本文基于mips64平台,实际写个demo介绍如何在mips64下hook系统调用,这里只介绍基于syscall table的hook。
本文测试机cpu是Loongson-3A R4 (Loongson-3A4000),系统是银河麒麟v10 mips64版,测试环境:
内核版本为:4.19.90-23.13.v2101.ky10.mips64el
下面言归正传,如何在mips64下hook基于系统调用表的系统调用呢?
目录
1、获取syscall_table地址
2、确定要hook的系统调用在syscall_table中的数组下标
3、替换系统调用为自定义函数
4、卸载时要还原系统调用
5、demo运行展示
1、获取syscall_table地址
通过kprobe机制获取,代码如下:
// 包含kprobe所需头文件 #include2、确定要hook的系统调用在syscall_table中的数组下标// 定义一个kprobe变量,吧symbol_name字段赋值为sys_call_table static struct kprobe kp_sys_call_table={ .symbol_name = "sys_call_table", }; // 注册kprobe int ret = register_kprobe(&kp_sys_call_table); if(ret < 0){ printk("[err] %s. register_kprobe failed, ret:%dn", __func__, ret); return ret; } // 注册成功,则会获取到该符号的地址 sys_call_table_ptr = (long long)(void*)kp_sys_call_table.addr; printk("[info] %s, get_orignal_system_call:%lx!n", __func__, sys_call_table_ptr); // 注销kprobe unregister_kprobe(&kp_sys_call_table);
这里也即是__NR_xxx宏,在x86_64及aarch64上我们都是可以直接用这个宏作为sys_call_table数组下标的,但是在mips64上这个宏的值有点特殊,它被加上了__NR_Linux,如果你直接用__NR_xxx作为sys_call_table数组下标的话,获取的地址是不对的,这里我们以openat系统调用为例,在内核源码中搜索如下:
[root@kvm-mips64-test test]# grep -nr __NR_openat /usr/src/kernels/4.19.90-23.13.v2101.ky10.mips64el/ /usr/src/kernels/4.19.90-23.13.v2101.ky10.mips64el/arch/mips/include/uapi/asm/unistd.h:311:#define __NR_openat (__NR_Linux + 288) /usr/src/kernels/4.19.90-23.13.v2101.ky10.mips64el/arch/mips/include/uapi/asm/unistd.h:659:#define __NR_openat (__NR_Linux + 247) /usr/src/kernels/4.19.90-23.13.v2101.ky10.mips64el/arch/mips/include/uapi/asm/unistd.h:1011:#define __NR_openat (__NR_Linux + 251) /usr/src/kernels/4.19.90-23.13.v2101.ky10.mips64el/include/uapi/asm-generic/unistd.h:181:#define __NR_openat 56 /usr/src/kernels/4.19.90-23.13.v2101.ky10.mips64el/include/uapi/asm-generic/unistd.h:182:__SC_COMP(__NR_openat, sys_openat, compat_sys_openat)
在arch/mips/include/uapi/asm/unistd.h文件中有__NR_Linux的宏定义:
所以我们要的数组下标就是_NR_xxx-__NR_Linux,代码示例如下:
raw_openat_func = (openat_t)sys_call_table_ptr[__NR_openat - __NR_Linux]; raw_write_func = (write_t)sys_call_table_ptr[__NR_write - __NR_Linux]; raw_read_func = (read_t)sys_call_table_ptr[__NR_read - __NR_Linux];
这里raw_xxx_func是存放原系统调用地址,定义如下:
// #include3、替换系统调用为自定义函数// 定义系统调用函数指针类型 typedef asmlinkage long (*openat_t)(int dfd, const char __user *filename, int flags, int mode); typedef asmlinkage ssize_t (*write_t)(int fd, void *buf, size_t count); typedef asmlinkage ssize_t (*read_t)(int fd, void *buf, size_t count); // 声明函数指针变量 asmlinkage openat_t raw_openat_func = NULL; asmlinkage write_t raw_write_func = NULL; asmlinkage read_t raw_read_func = NULL;
这一步其实是最关键的,因为系统调用地址所在内核内存地址为只读的,直接去写的话,会导致内核崩溃,所以你看我们x86_64、aarch64上,这步都是需要去先禁掉写保护,然后再去写。
但是mips64上,却没有这种机制,我们可以直接替换掉系统调用地址:
sys_call_table_ptr[__NR_openat - __NR_Linux] = (openat_t)my_stub_openat; sys_call_table_ptr[__NR_write - __NR_Linux] = (write_t)my_stub_write; sys_call_table_ptr[__NR_read - __NR_Linux] = (read_t)my_stub_read;
其中my_stub_xxx是我们自定义的,用来替换原系统调用的函数,他的定义如下:
asmlinkage long my_stub_openat(int dfd, const char __user *filename, int flags, int mode); asmlinkage ssize_t my_stub_write(int fd, void *buf, size_t count); asmlinkage ssize_t my_stub_read(int fd, void *buf, size_t count);
通常,在my_stub_xxx中,我们最后还是要调用原系统调用raw_xxx_func,防止搞坏系统。
我们可以在我们的my_stub_xxx中执行我们的逻辑,比如在openat中打印当前进程信息及其要打开的文件名:
asmlinkage long my_stub_openat(int dfd, const char __user *filename, int flags, int mode)
{
long value = -1;
static int count = 0;
char *kfilename = NULL;
kfilename = kzalloc(1024, GFP_KERNEL);
if(kfilename != NULL){
if (unlikely(copy_from_user(kfilename, filename, 1024) == 1024)){
printk("[err] %s. copy_from_user failed, pathname:%lx.n", __func__, filename);
goto openat_out;
}
}
printk("[info] %s. dfd:%d, flags:%x, mode:0%o, filename:0x%lx[%s], current_pid:%d, current_tgid:%d, current_comm:%s.n",
__func__, dfd, flags, mode, filename, kfilename?kfilename:"NULL", current->pid, my_get_pid(), get_proc_name());
openat_out:
kfree(kfilename);
value = raw_openat_func(dfd, filename, flags, mode);
return value;
}
4、卸载时要还原系统调用
卸载模块时,需要将sys_call_table数组中之前替换的系统调用,还原回原系统调用地址,否则系统会崩溃:
if(sys_call_table_ptr[__NR_openat - __NR_Linux] == my_stub_openat) sys_call_table_ptr[__NR_openat - __NR_Linux] = raw_openat_func; if(sys_call_table_ptr[__NR_write - __NR_Linux] == my_stub_write) sys_call_table_ptr[__NR_write - __NR_Linux] = raw_write_func; if(sys_call_table_ptr[__NR_read - __NR_Linux] == my_stub_read) sys_call_table_ptr[__NR_read - __NR_Linux] = raw_read_func;5、demo运行展示
代码写好之后,再写个Makefile文件,然后编译代码:
①执行insmod命令加载内核模块,查看系统日志:
②执行rmmod命令卸载该内核模块,系统日志输出如下:
完结。
感兴趣的话,可以关注我的微信公众号大胖聊编程,获取示例代码,和我一起交流学习。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)