可以嘗試使用以下幾種方案來攔截Linux核心函數:
使用Linux安全API
從最佳實踐的角度來說suse linux 下載,我們覺得使用Linux安全API的hook函數是最佳選擇,由於這個插口就是因此而設計的。核心程式碼的關鍵點包含安全函數調用,這種調用可能造成安全模組安裝的拉升。這個模組可以研究特定操作的上下文,並決定是容許還是嚴禁它。不幸的是,LinuxSecurityAPI有兩個主要限制:
#其實核心開發人員對系統是否可以包含多個安全模組有不同的想法linux定時關機命令,而且模組未能動態載入是可以肯定的事實。為了確保系統從一開始就保持安全,安全模組必須是核心的一部分。為此,為了使用Linux安全API,我們必須建立一個已訂定的Linux核心。
更改系統呼叫表格
因為主要用於由使用者應用程式執行的操作,所以我們可以在系統呼叫層級上實現它。所有Linux系統呼叫處理程序都儲存在sys_call_table表中。修改此表中的值會造成修改系統的行為。為此,我們可以透過儲存舊的處理程序值並將自己的處理程序加入表中來hook系統呼叫。這些方式也有一些優點和缺點。
主要優點如下:
不過,這些方式也有幾個缺點:
技術實施較複雜。其實替換表中的值並不困難呼叫linux內核函數,但還有一些額外的任務須要個別條件和一些不顯著的解決方案:
#只hook系統呼叫。因為此方式容許你替換系統呼叫處理程序,因而它大大限制了入口點。所有的附加檢測都可以在系統呼叫之前或以後立刻執行,我們只有系統呼叫參數及其回傳值。因而,有時我們可能必須仔細偵測進程的存取權限和系統呼叫參數的有效性。據悉,在個別情況下,須要複製兩次用戶進程顯存會形成額外的開支費用。諸如,當參數透過表針傳遞時,會有兩個副本:一個是我們自己創建的副本,另一個是由原始處理程序建立的副本。
使用Kprobes
Kprobes—專為Linux核心追蹤與偵錯而設計的API。 Kprobes準許為任何核心指令以及函數入口和函數傳回處理程序安裝預處理程序和後處理程序。處理程序可以存取暫存器並可以修改它們。這樣,我們就有機會監控文件執行流程並改變它。
#使用Kprobes追蹤Linux核心函數的主要用途如下:
Kprobes也有缺點:
拼接
一种配置内核函数hooking的精典方式:将函数开头的指令替换为通向自定义处理程序的无条件跳转。原始指令被联通到不同的位置,并在跳回到截取的函数之前执行。为此,两次跳转,就可以将代码拼接成一个函数。此方式的工作方法与kprobes跳转优化的方法相同。使用拼接,也可以获得与使用kprobes相同的结果,但开支更低,而且可以完全控制流程。
使用拼接的优点十分显著:
但是,这些方式有一个主要缺点—技术复杂性。更换函数中的机器代码并不容易。为了使用拼接调用linux内核函数,须要完成以下几项操作:
相对而言,拼接可能是一种十分有用的方式来hookLinux内核函数。但此方式的实现过分复杂。因为考虑到我们自身能力和一些其他诱因,我们暂时不准备采用这些方式,所以将其作为候选方案。
以上是可以嘗試使用以下幾種方案來攔截Linux內核函數的詳細內容。更多資訊請關注PHP中文網其他相關文章!
