Question

是否有任何可能进入<代码>sys_quest_table。自我模块<代码> Kernel 2.6+? 如果有人能够提供与文章或如何联系,我将不胜感激。我需要一种无需修改<代码>Kernel源代码的方法。我知道在<条码>、2.4 克里特上是容易的,但你可以使用外部符号,但这一能力已从<条码>第2.6条/代码>中删除。

Answer 1

由于你真的要做的是用你自己的职能来取代一项叫 s,我建议使用这种工作的证明,你可以轻易地打破任何掩饰地址(或符号(例如:先天、先天、轮.)和改变执行道路,所有这一切都是暂时的,如果你需要:) 间接费用非常低。

Kprobes (or jprobes if You only to increase their Code in the sysbet as than to取而代之) work byactiveally顶替一项指示(例如,关于你的回忆录的第一份指示)而代之(例如,关于x86)。在“int3”手稿中,通知人通知了证据,这反过来又把执行交给了你的登记职能,从这个角度来说,你几乎可以做任何事情。

文件/问题提供了非常好的文件。 txt作为样本/kprobes/kprobes_example.c中的一种微小例子(例如,它们打破了做事,在系统中记录每个叉)。它有一个非常简单的版本,现在非常方便。

Answer 2

我已经回答了与此类似的几个其他问题:

You may find this system call hooking example question/answer relevant to your needs
There are various methods of reading kernel memory that you might also find useful
Keep in mind that replacing kernel functions is tricky business and not for the feint of heart.

深入解释我的如下内容:http://github.com/cormander/tpe-lkm” ,“no followlow noreferer”>TPE LKM>/a>,该单元确实如此,见:http://cormander.com/12/how-to-hook-into-hiidden-lin-kerlot-works- Bolivia-lkm/ conf=“no followlow noreferer”>,关于我的博客的解释。

<>光> 正如对贵问题的评论中提到的,这不是做事的适当方式。如果你重整ker子,这是最好的,尽管我确实理解,有些情况不是选择。

Answer 3

自凯尔特以来 2.6.* 系统表不再出口。你们可以找到如何再出口:

http://www.sans.org/reading_room/whitepapers/honors/linux-kernel-rootkits-protecting-systems_1500

参看第144页。

友情链接