Перехват execve в ядре

Ты do_execve пытаешься изменить или sys_execve?

Именно do_execve
После изменения, в опкод начала функции записываться f b . Но исключения не происходит, как-будто код туда не попадает. (на всякий случай повторюсь, на старых ядрах (скажем 3,6) перехват работает)

в опкод начала функции записываться f b

Ты проверил?

Что-то не увидел по твоим ссылкам ничего про кеш. Ты меняешь код на лету, значит надо как минимум сбросить кеш данных и инвалидировать кеш инструкций.

байты проверил. (перезаписаны)
(перехват ОСТАЛЬНЫх функций на этомже ядре, работает..значит действия наподобии «кеш» сделаны). (проверил байты остальных перехваченных функций. в execve всё аналогично..но не работает.)

значит действия наподобии «кеш» сделаны

Где? Особенно инвалидация.

Вообще, так хуевые студенты рассуждают - не упало значит все правильно типа.

Ок. Поясните , как правильно делается «кеш» и «инвалидация» (кстати, это действительно так, я не знаю что под этим подразумивается. )

Открывай мануал на свой проц и читай про self modifying code.

kprobes своими руками

Если не работает своими, то первое - это попробовать, работает ли в принципе, т.е. с помощью systemtap:

stap -c df -e 'probe syscall.execve { printf ("%s(%d) execve (%s)\n", execname(), pid(), argstr) }'

1. systemtap.git/testsuite/systemtap.base/execve.stp

probe syscall.execve
{
    if (pid() == target()) {
        println(filename)
    }
}

2. Try It Out

stap -c df -e 'probe syscall.* { if (target()==pid()) log(name." ".argstr) }'

3. Probing a system call

# cat exec.stp
probe syscall.execve
{
    printf ("%s(%d) execve (%s)\n", execname(), pid(), argstr)
}