我试图编写一些简单的测试代码,作为挂钩系统调用表的演示.
"sys_call_table"在2.6中不再导出,所以我只是从系统中获取地址.映射文件,我可以看到它是正确的(查看内存中我找到的地址,我可以看到指向系统调用的指针).
然而,当我试图修改这个表时,内核给出了一个带有"无法处理虚拟地址c061e4f4处的内核分页请求"的"Oops",并且机器重新启动.
这里是CentOS 5.4,运行2.6.18-164.10.1.el5.有什么保护措施吗,还是我只是有个小虫子?我知道它与SELinux一起提供,我也try 过将其设置为允许模式,但这没有什么区别
这是我的代码:
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/moduleparam.h>
#include <linux/unistd.h>
void **sys_call_table;
asmlinkage int (*original_call) (const char*, int, int);
asmlinkage int our_sys_open(const char* file, int flags, int mode)
{
printk("A file was opened\n");
return original_call(file, flags, mode);
}
int init_module()
{
// sys_call_table address in System.map
sys_call_table = (void*)0xc061e4e0;
original_call = sys_call_table[__NR_open];
// Hook: Crashes here
sys_call_table[__NR_open] = our_sys_open;
}
void cleanup_module()
{
// Restore the original call
sys_call_table[__NR_open] = original_call;
}