Linux 커널:시스템 콜 후킹 예시
시스템 호출 테이블을 잠그기 위한 간단한 테스트 코드를 작성하려고 합니다.
"sys_call_table"은 2.6으로 내보내지 않기 때문에 System.map 파일에서 주소를 가져오기만 하면 올바른 주소를 알 수 있습니다(메모리를 통해 찾은 주소에서 시스템 호출에 대한 포인터를 확인할 수 있습니다).
그러나 이 테이블을 수정하려고 하면 커널에서 "Oops"와 "가상 주소 c061e4f4에서 커널 페이징 요청을 처리할 수 없습니다"라는 메시지가 표시되고 시스템이 재부팅됩니다.
2.6.18-164.10.1.el5를 실행하고 있는 CentOS 5.4입니다.무슨 보호책이 있나요? 아니면 그냥 버그가 있는 건가요?SELinux와 함께 제공되는 것을 알고 있으며 허용 모드로 설정해 봤지만 차이가 없습니다.
제 코드는 다음과 같습니다.
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/moduleparam.h>
#include <linux/unistd.h>
void **sys_call_table;
asmlinkage int (*original_call) (const char*, int, int);
asmlinkage int our_sys_open(const char* file, int flags, int mode)
{
printk("A file was opened\n");
return original_call(file, flags, mode);
}
int init_module()
{
// sys_call_table address in System.map
sys_call_table = (void*)0xc061e4e0;
original_call = sys_call_table[__NR_open];
// Hook: Crashes here
sys_call_table[__NR_open] = our_sys_open;
}
void cleanup_module()
{
// Restore the original call
sys_call_table[__NR_open] = original_call;
}
마침내 내가 직접 답을 찾았다.
http://www.linuxforums.org/forum/linux-kernel/133982-cannot-modify-sys_call_table.html
시스템 콜테이블이 읽기 전용이 되도록 커널이 어느 시점에서 변경되었습니다.
사이퍼펑크:
늦었지만 솔루션이 다른 사람에게도 관심을 가질 수 있습니다.엔트리에.찾으실 S 파일: 코드:
.section .rodata,"a" #include "syscall_table_32.S"sys_call_table -> ReadOnly sys_call_table을 사용하여 "해킹"하려면 커널을 새로 컴파일해야 합니다.
이 링크에는 메모리를 쓰기 가능으로 변경하는 예도 포함되어 있습니다.
나세코모에:
안녕하세요.답장 감사합니다.메모리 페이지에 대한 액세스를 수정하여 문제를 해결했습니다.상위 레벨 코드에 대해 이 기능을 수행하는 두 가지 기능을 구현했습니다.
#include <asm/cacheflush.h> #ifdef KERN_2_6_24 #include <asm/semaphore.h> int set_page_rw(long unsigned int _addr) { struct page *pg; pgprot_t prot; pg = virt_to_page(_addr); prot.pgprot = VM_READ | VM_WRITE; return change_page_attr(pg, 1, prot); } int set_page_ro(long unsigned int _addr) { struct page *pg; pgprot_t prot; pg = virt_to_page(_addr); prot.pgprot = VM_READ; return change_page_attr(pg, 1, prot); } #else #include <linux/semaphore.h> int set_page_rw(long unsigned int _addr) { return set_memory_rw(_addr, 1); } int set_page_ro(long unsigned int _addr) { return set_memory_ro(_addr, 1); } #endif // KERN_2_6_24
여기 나에게 맞는 원본 코드의 수정 버전이 있습니다.
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/moduleparam.h>
#include <linux/unistd.h>
#include <asm/semaphore.h>
#include <asm/cacheflush.h>
void **sys_call_table;
asmlinkage int (*original_call) (const char*, int, int);
asmlinkage int our_sys_open(const char* file, int flags, int mode)
{
printk("A file was opened\n");
return original_call(file, flags, mode);
}
int set_page_rw(long unsigned int _addr)
{
struct page *pg;
pgprot_t prot;
pg = virt_to_page(_addr);
prot.pgprot = VM_READ | VM_WRITE;
return change_page_attr(pg, 1, prot);
}
int init_module()
{
// sys_call_table address in System.map
sys_call_table = (void*)0xc061e4e0;
original_call = sys_call_table[__NR_open];
set_page_rw(sys_call_table);
sys_call_table[__NR_open] = our_sys_open;
}
void cleanup_module()
{
// Restore the original call
sys_call_table[__NR_open] = original_call;
}
고마워요, 스티븐. 여기서 당신의 연구가 도움이 되었어요.하지만 2.6.32 커널에서 시도하다가 문제가 좀 있었습니다.WARNING: at arch/x86/mm/pageattr.c:877 change_page_attr_set_clr+0x343/0x530() (Not tainted)이어서 메모리 주소에 쓸 수 없다는 커널의 OOPS가 표시됩니다.
상기 행 위의 코멘트에는 다음과 같이 기재되어 있습니다.
// People should not be passing in unaligned addresses
다음과 같은 수정된 코드가 작동합니다.
int set_page_rw(long unsigned int _addr)
{
return set_memory_rw(PAGE_ALIGN(_addr) - PAGE_SIZE, 1);
}
int set_page_ro(long unsigned int _addr)
{
return set_memory_ro(PAGE_ALIGN(_addr) - PAGE_SIZE, 1);
}
그래도 실제로는 페이지가 읽기/쓰기로 설정되지 않는 경우가 있습니다.그static_protections()내부라고 불리는 기능set_memory_rw()는 를 삭제합니다._PAGE_RW다음과 같은 경우 플래그 지정:
- BIOS 영역에 있습니다.
- 주소는 .rodata 안에 있습니다.
- CONFIG_DEBUG_RODATA가 설정되고 커널이 읽기 전용으로 설정됩니다.
커널 함수 주소를 수정하려고 할 때 "커널 페이징 요청을 처리할 수 없음"이 표시되는 이유를 디버깅한 후 알게 되었습니다.주소의 페이지 테이블 엔트리를 직접 찾아 수동으로 쓰기 가능으로 설정함으로써 그 문제를 해결할 수 있었습니다.도 ★★★★★★★★★★★★★★★★★.lookup_address()2.6.26+입니다.이를 위해 작성한 코드는 다음과 같습니다.
void set_addr_rw(unsigned long addr) {
unsigned int level;
pte_t *pte = lookup_address(addr, &level);
if (pte->pte &~ _PAGE_RW) pte->pte |= _PAGE_RW;
}
void set_addr_ro(unsigned long addr) {
unsigned int level;
pte_t *pte = lookup_address(addr, &level);
pte->pte = pte->pte &~_PAGE_RW;
}
마지막으로 Mark의 답변은 기술적으로 정확하지만 Xen 내부에서 실행하면 문제가 발생합니다.쓰기 방지를 비활성화하려면 읽기/쓰기 cr0 기능을 사용합니다.다음과 같이 매크로합니다.
#define GPF_DISABLE write_cr0(read_cr0() & (~ 0x10000))
#define GPF_ENABLE write_cr0(read_cr0() | 0x10000)
이 질문을 우연히 접하는 다른 사람에게 도움이 되길 바랍니다.
change_page_attr을 사용하는 대신 다음 항목도 작동하므로 감가상각할 수 없습니다.
static void disable_page_protection(void) {
unsigned long value;
asm volatile("mov %%cr0,%0" : "=r" (value));
if (value & 0x00010000) {
value &= ~0x00010000;
asm volatile("mov %0,%%cr0": : "r" (value));
}
}
static void enable_page_protection(void) {
unsigned long value;
asm volatile("mov %%cr0,%0" : "=r" (value));
if (!(value & 0x00010000)) {
value |= 0x00010000;
asm volatile("mov %0,%%cr0": : "r" (value));
}
}
커널 3.4 이후(이전 커널에서도 동작 가능, 테스트하지 않았습니다)를 취급하고 있는 경우는, 시스템 콜의 테이블 위치를 취득하는 보다 스마트한 방법을 추천합니다.
예를들면
#include <linux/module.h>
#include <linux/kallsyms.h>
static unsigned long **p_sys_call_table;
/* Aquire system calls table address */
p_sys_call_table = (void *) kallsyms_lookup_name("sys_call_table");
바로 그겁니다.주소는 없습니다. 테스트한 모든 커널에서 정상적으로 동작합니다.
모듈에서 내보내지 않은 커널 함수를 사용할 수 있는 것과 동일한 방법입니다.
static int (*ref_access_remote_vm)(struct mm_struct *mm, unsigned long addr,
void *buf, int len, int write);
ref_access_remote_vm = (void *)kallsyms_lookup_name("access_remote_vm");
맛있게 드세요!
언급URL : https://stackoverflow.com/questions/2103315/linux-kernel-system-call-hooking-example
'sourcecode' 카테고리의 다른 글
| 여러 테이블 행을 반환하는 Vue 구성 요소 (0) | 2022.07.27 |
|---|---|
| 스프링: @Component vs @Bean (0) | 2022.07.27 |
| Nuxt SSR에서 여권 js 리다이렉트를 처리하려면 어떻게 해야 합니까? (0) | 2022.07.27 |
| 실제로 포인트 캐스트가 올바른 경우는 언제입니까? (0) | 2022.07.27 |
| JSON 문자열을 HashMap으로 변환 (0) | 2022.07.27 |