不详细讲述原因,我正在寻找一种尽可能清晰的方法来替换内核函数和系统调用。我的最初想法是编写代码来覆盖一些函数,这些函数将采用原始函数(如果可能的话,调用函数),然后添加一些我自己的代码。关键是,我编写的函数必须具有原始函数的名称,这样其他代码在尝试访问它时,将访问我的函数。
我可以直接在内核中轻松地(相对地)执行此操作,只需将我的代码放入适当的函数中即可,但我想知道是否有人知道一些 C 的魔法,不是必须可怕的内核(或 C )编码实践,可以实现相同的结果。
思考 #define 和 typedefs,但我无法在脑海中完全理解它们。
简而言之:有没有人知道一种有效地覆盖 Linux 内核中函数的方法(从模块)?
编辑:由于已经有人问过,我基本上想要记录某些函数(创建/删除目录等)在内核内部,但为了健康起见,似乎使用可加载模块比每次更改都必须编写大型内核代码并重新编译要有意义。可以向内核添加最少量的代码,但我想将大部分工作卸载到模块中。
我知道这个问题已经有三年了,但是为了其他人能够尝试做这样的事情,内核有一个叫做kprobes的接口可以满足你的需求。
我不太确定您想做什么,但我认为ksplice可能是一个不错的解决方案。它仍在开发中,所以我不知道它现在是否处于可用状态。
这篇文章对你来说可能很有用。
基本上,由于系统调用表在较新的内核中未直接导出,您必须自己进行一些搜索以确定其位置。然后,您可以拦截所选的系统调用并对它们进行操作。替换其他内核函数要困难得多,除非其中一些组织方式与系统调用相同(它们出现在某些分派表等)- 这种情况非常罕见。
内核已经做了很多工作,以确保这种情况不会发生,特别是为了不向模块公开系统调用表的工作。记录文件访问的唯一支持机制是LSM,但它是面向安全性的,并且有着不确定的未来。这里有一个文档API的PDF,但可能不是最新的。
与尝试破坏内核系统调用函数相比,inotify是监视文件创建、删除和修改的更好的方法,但它是从用户空间工作的。
引用自维基百科(http://en.wikipedia.org/wiki/Inotify): 可以监视的一些事件包括:
* IN_ACCESS - read of the file
* IN_MODIFY - last modification
* IN_ATTRIB - attributes of file change
* IN_OPEN and IN_CLOSE - open or close of file
* IN_MOVED_FROM and IN_MOVED_TO - when the file is moved or renamed
* IN_DELETE - a file/directory deleted
* IN_CREATE - a file/directory created
* IN_DELETE_SELF - file monitored is deleted
inotify自2.6.13内核版本开始存在,其前身是dnotify(http://en.wikipedia.org/wiki/Dnotify)。
// add the following in the file arch/i386/kernel/i386_ksyms.c
extern void* sys_call_table[];
EXPORT_SYMBOL(sys_call_table);
然后只需按照Linux内核模块编程指南中替换系统调用的步骤进行操作即可:
这里的源代码是一个内核模块的示例。我们想要“监视”某个用户,并在该用户打开文件时printk()一条消息。为此,我们替换了打开文件的系统调用为我们自己的函数,称为our_sys_open。此函数检查当前进程的uid(用户ID),如果它等于我们要监视的uid,则调用printk()以显示即将被打开的文件的名称。然后,无论如何,它都会使用相同的参数调用原始的open()函数来实际打开文件。
init_module函数替换了sys_call_table中的适当位置,并将原始指针保存在变量中。cleanup_module函数使用该变量将所有内容恢复回正常状态。这种方法很危险,因为存在两个内核模块更改同一系统调用的可能性。假设我们有两个内核模块A和B。 A的open系统调用将是A_open,B的将是B_open。现在,在将A插入内核时,系统调用被替换为A_open,它将在完成时调用原始的sys_open。接下来,将B插入内核,这将替换系统调用为B_open,完成时将调用它认为是原始系统调用A_open。