替换Linux内核3中的系统调用

Question

我有兴趣用我将在 Linux 内核 3 中实现的自定义替换系统调用。 我读到系统调用表不再公开。

有什么想法吗？

任何对此的引用 http://www.linuxtopia.org/online_books/linux_kernel /linux_kernel_module_programming_2.6/x978.html 示例，但对于内核 3 将不胜感激:)

谢谢！

Answer 1

我建议使用 kprobes 来完成此类工作，您可以轻松地中断任何内核地址（或符号...）并更改执行路径，所有这些都在运行时进行，如果需要，可以使用内核模块:)

Kprobes 工作通过用中断（例如 x86 上的 int3）动态替换指令（例如系统调用条目的第一条指令）。在 do_int3 处理程序内部，通知程序会通知 kprobes，后者又将执行传递给您注册的函数，从这里您几乎可以执行任何操作。

Documentation/kprobes.txt 中给出了非常好的文档，因此作为一个小小的samples/kprobes/kprobes_example.c （在此示例中，它们在 do_fork 上中断以记录系统上的每个分叉）。它有一个非常简单的 API，并且现在非常便携。

警告：如果您需要更改执行路径，请确保您的 kprobes 未优化（即处理程序的 jmp 指令会替换您中断的指令而不是 int3），否则您将无法能够真正轻松地改变执行（在函数 ret 之后，系统调用函数仍将照常执行）。如果您只对跟踪感兴趣，那么这很好，您可以放心地忽略这个问题。

Answer 2

写一个LKM会是更好的选择。你所说的替换是什么意思，你想添加一个新的吗？