系统调用挂钩时出现问题

Question

我使用以下模块代码来挂钩系统调用（代码归功于其他人，例如 Linux内核：系统调用挂钩示例）。

#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/moduleparam.h>
#include <linux/unistd.h>
#include <asm/semaphore.h>
#include <asm/cacheflush.h>

void **sys_call_table;

asmlinkage int (*original_call) (const char*, int, int);

asmlinkage int our_sys_open(const char* file, int flags, int mode)
{
   printk(KERN_ALERT "A file was opened\n");
   return original_call(file, flags, mode);
}

int set_page_rw(long unsigned int _addr)
{
   struct page *pg;
   pgprot_t prot;
   pg = virt_to_page(_addr);
   prot.pgprot = VM_READ | VM_WRITE;
   return change_page_attr(pg, 1, prot);
}

int init_module()
{
    // sys_call_table address in System.map
    sys_call_table = (void*)0xffffffff804a1ba0;
    original_call = sys_call_table[1024];
    set_page_rw(sys_call_table);
    sys_call_table[1024] = our_sys_open;
    return 0;
}

void cleanup_module()
{
   // Restore the original call
   sys_call_table[1024] = original_call;
}

当 insmod 已编译的 .ko 文件时，终端会抛出“Killed”。当查看“cat /proc/modules”文件时，我得到了“正在加载”状态。

my_module 10512 1 - Loading 0xffffffff882e7000 (P)

正如预期的那样，我无法 rmmod 这个模块，因为它抱怨它正在使用。系统将重新启动以获取全新状态。

后来，注释掉上述源码中的两行代码sys_call_table[1024] = our_sys_open;和sys_call_table[1024] = original_call;后，就可以成功insmod了。更有趣的是，当取消这两行注释（改回原来的代码）时，编译后的模块就可以insmod成功。我不太明白为什么会出现这种情况？有没有办法可以成功编译代码并直接insmod它？

我在使用 linux 内核 2.6.24.6 的 Redhat 上完成了这一切。

Answer 1

我认为您应该查看 kprobes API，该 API 在 Documentation/krpobes.txt 中有详细记录。它使您能够在每个地址（例如系统调用条目）上安装处理程序，以便您可以执行您想要的操作。额外的好处是您的代码将更加可移植。

如果您只对跟踪这些系统调用感兴趣，您可以使用审计子系统，编写自己的用户态守护程序，该守护程序将能够从审计 kthread 接收 NETLINK 套接字上的事件。 libaudit 提供了一个简单的 API 来注册/读取事件。

如果您确实有充分的理由不使用 kprobes/audit，我建议您检查您尝试写入的值是否不在您设置可写的页面之上。快速计算表明：

offset_in_sys_call_table * sizeof(*sys_call_table) = 1024 * 8 = 8192

如果您使用 4K 页面，则它是您设置为可写的页面之后的两页。