Адрес syscall table

2

2

Пишу модуль ядра под разные ОС. Для этого мне нужно использовать адрес таблицы syscall. В ОС с ядром 4.0-x я этот адрес узнавал просто: cat /proc/kallsyms | grep sys_call_table И все что мне надо было на экране. Однако в дистрибутиве Debian 7.8(с ядром 3.2.0-4) вышеуказанная команда не выдает ничего. Подскажите как на этом (и других )дистрибутивах узнать адрес таблицы ?

Ссылка

←	pycharm не появляется в списке приложений

Как создать Live образ Debian?

→

Зачем тебе этот адрес?

post-factum ★★★★★
(08.08.16 12:12:43 MSK)

Ответ на: комментарий от post-factum 08.08.16 12:12:43 MSK

Подменять syscall'ы, это же очевидно.

m0rph ★★★★★
(08.08.16 12:14:24 MSK)

Если я прав и ты действительно хочешь подменять системные вызовы, может быть этот пример тебе поможет:

#define CR0_WP 0x00010000 // Write Protect Bit

static unsigned long** sys_call_table;
asmlinkage long (*old_sys_open)(const char __user* filename, int flags, umode_t mode);

asmlinkage long new_sys_open(const char __user* filename, int flags, umode_t mode)
{
    // TODO: Add code here
    return 0;
}

static unsigned long** find_sys_call_table(void)
{
    unsigned long int offset = PAGE_OFFSET;
    while(offset < ULLONG_MAX) {
        unsigned long** table = (unsigned long**) offset;
        if(table[__NR_close] == (unsigned long*) sys_close)
            return table;
    
        offset += sizeof(void*);
    }

    return NULL;
}


static int __init interceptor_init(void)
{
    if(!(sys_call_table = find_sys_call_table()))
        return -1;

    unsigned long cr0 = read_cr0();
    write_cr0(cr0 & ~CR0_WP);

    old_sys_open = (void*) sys_call_table[__NR_open];
    sys_call_table[__NR_open] = (unsigned long*) new_sys_open;

    write_cr0(cr0);
    return 0;
}

m0rph ★★★★★
(08.08.16 12:19:31 MSK)
Последнее исправление: m0rph 08.08.16 12:22:54 MSK (всего исправлений: 2)

Ответ на: комментарий от m0rph 08.08.16 12:14:24 MSK

Верно. Только у меня уже все отлажено и все упирается в этот адрес, который не могу найти на некоторых ядрах.

sa1mon
(08.08.16 12:29:00 MSK) автор топика

Ссылка

Я находил её прямолинейным образом:

https://gist.github.com/ilammy/f39b7366f9dd2f15479d#file-locate_sct-c

ilammy ★★★
(08.08.16 12:35:29 MSK)

Ссылка

https://github.com/milabs/kmod_hooking_sct

i82 ★★
(08.08.16 13:05:31 MSK)

Ссылка

Мне недавно понадобилось подобное: Вытащить kernel symbols из zImage. Проблема до сих пор не решена.

ilammy, i82, может есть ещё какие полезные ссылки?

gag ★★★★★
(08.08.16 22:23:18 MSK)

http://phrack.org/issues/68/6.html

SZT ★★★★★
(09.08.16 10:23:41 MSK)

Ссылка

Ответ на: комментарий от gag 08.08.16 22:23:18 MSK

Это только за шекель.

i82 ★★
(09.08.16 18:36:34 MSK)

Ответ на: комментарий от m0rph 08.08.16 12:19:31 MSK

Как страшно жить! Оно что, не экспотировано и его надо исать ручками по всему .data? o_O

В BSD syscall таблицу просто видно как:

const struct sysent *callp;

beastie ★★★★★
(09.08.16 18:43:33 MSK)
Последнее исправление: beastie 09.08.16 18:45:20 MSK (всего исправлений: 2)

Ответ на: комментарий от beastie 09.08.16 18:43:33 MSK

Как страшно жить!

Вот поэтому заботятся о нашей безопасности. В ядре 4.7 вообще добавили ещё одну фичу для «повышения» безопасности. Побочный эффект: даже если есть исходники к модулю, он может просто не загрузиться, т.к. из работающего ядра удалена «в целях повышения безопасности» вся «лишняя» информация (в смысле не нужная для продавца).

gag ★★★★★
(09.08.16 21:18:23 MSK)