[有问题] 劫获系统调用之后

rickxbx

Post by 小锁

3）看不懂的一种，贴上源码吧先：

1. 
   
2. /* system hook */
   
3. 
   
4. #ifdef HIDDEN_SCT
   
5. static void** dazuko_get_sct()
   
6. {
   
7.     unsigned long    ptr;
   
8.     extern int    loops_per_jiffy;
   
9.     unsigned long    *p;
   
10. 
    
11.     for (ptr=(unsigned long)&loops_per_jiffy ; ptr<(unsigned long)&boot_cpu_data ; ptr+=sizeof(void *))
    
12.     {
    
13.         p = (unsigned long *)ptr;
    
14.         if (p[6] == (unsigned long)sys_close)
    
15.         {
    
16.             return (void **)p;
    
17.         }
    
18.     }
    
19. 
    
20.     return NULL;
    
21. }
    
22. #endif
    

复制代码

关于这种方法,可以看一下System.map,就明白了.sys_call_table符号在loops_per_jiffy和boot_cpu_data之间,不过这个方法也有其局限性,我在FC3(原内核)上试过,就不行,要稍微改动一下才可以.相比校而言,第二种方法倒是比较通用的.

jszhang3

那如果进入系统调用不是用int 0x80怎办？比如用sysenter指令，是不是找到sysenter的二进制码，然后照int 0x80的葫芦画sysenter的瓢-__-

rickxbx

Post by jszhang3
那如果进入系统调用不是用int 0x80怎办？比如用sysenter指令，是不是找到sysenter的二进制码，然后照int 0x80的葫芦画sysenter的瓢-__-

这个没关系呀. 除非int 0x80方式被linux抛弃,否则这一段都会被编译到内核,那么就可以通过他获取sys_call_table的地址

datar

Post by 小锁
你原来是如何做到的？
...

INT80，GOOGLE来的代码，不太理解，而且好像代码不够强健，所以最后还是决定用System.map

小锁

贴出来看看啊