本文主要是介绍Linux MIPS64下hook系统调用(kylin server v10),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
之前已经写过几篇关于linux下hook系统调用的文章:
x86_64下系列hook文章:
hook系统调用完整实例
Linux系统中获取系统调用表(system call table)地址的几种方法
Linux Hook系统调用(适用于RHEL/CentOS8.x 基于4.18.0内核版本)
Linux内核 hook execve系统调用(监控应用程序启动行为)
Linux下监控所有进程的退出事件
arm64下hook文章:
Linux ARM64平台上Hook系统调用(以openat为例)
以上基于x86_64的那几篇可以参考arm64hook的方法移植到arm64平台上。
本文基于mips64平台,实际写个demo介绍如何在mips64下hook系统调用,这里只介绍基于syscall table的hook。
本文测试机cpu是Loongson-3A R4 (Loongson-3A4000),系统是银河麒麟v10 mips64版,测试环境:
内核版本为:4.19.90-23.13.v2101.ky10.mips64el
下面言归正传,如何在mips64下hook基于系统调用表的系统调用呢?
目录
1、获取syscall_table地址
2、确定要hook的系统调用在syscall_table中的数组下标
3、替换系统调用为自定义函数
4、卸载时要还原系统调用
5、demo运行展示
1、获取syscall_table地址
通过kprobe机制获取,代码如下:
// 包含kprobe所需头文件
#include <linux/kprobes.h>// 定义一个kprobe变量,吧symbol_name字段赋值为sys_call_table
static struct kprobe kp_sys_call_table={.symbol_name = "sys_call_table",
};// 注册kprobe
int ret = register_kprobe(&kp_sys_call_table);
if(ret < 0){printk("[err] %s. register_kprobe failed, ret:%d\n", __func__, ret);return ret;
}// 注册成功,则会获取到该符号的地址
sys_call_table_ptr = (long long)(void*)kp_sys_call_table.addr;
printk("[info] %s, get_orignal_system_call:%lx!\n", __func__, sys_call_table_ptr);// 注销kprobe
unregister_kprobe(&kp_sys_call_table);
2、确定要hook的系统调用在syscall_table中的数组下标
这里也即是__NR_xxx宏,在x86_64及aarch64上我们都是可以直接用这个宏作为sys_call_table数组下标的,但是在mips64上这个宏的值有点特殊,它被加上了__NR_Linux,如果你直接用__NR_xxx作为sys_call_table数组下标的话,获取的地址是不对的,这里我们以openat系统调用为例,在内核源码中搜索如下:
[root@kvm-mips64-test test]# grep -nr __NR_openat /usr/src/kernels/4.19.90-23.13.v2101.ky10.mips64el/
/usr/src/kernels/4.19.90-23.13.v2101.ky10.mips64el/arch/mips/include/uapi/asm/unistd.h:311:#define __NR_openat (__NR_Linux + 288)
/usr/src/kernels/4.19.90-23.13.v2101.ky10.mips64el/arch/mips/include/uapi/asm/unistd.h:659:#define __NR_openat (__NR_Linux + 247)
/usr/src/kernels/4.19.90-23.13.v2101.ky10.mips64el/arch/mips/include/uapi/asm/unistd.h:1011:#define __NR_openat (__NR_Linux + 251)
/usr/src/kernels/4.19.90-23.13.v2101.ky10.mips64el/include/uapi/asm-generic/unistd.h:181:#define __NR_openat 56
/usr/src/kernels/4.19.90-23.13.v2101.ky10.mips64el/include/uapi/asm-generic/unistd.h:182:__SC_COMP(__NR_openat, sys_openat, compat_sys_openat)
在arch/mips/include/uapi/asm/unistd.h文件中有__NR_Linux的宏定义:
所以我们要的数组下标就是_NR_xxx-__NR_Linux,代码示例如下:
raw_openat_func = (openat_t)sys_call_table_ptr[__NR_openat - __NR_Linux];
raw_write_func = (write_t)sys_call_table_ptr[__NR_write - __NR_Linux];
raw_read_func = (read_t)sys_call_table_ptr[__NR_read - __NR_Linux];这里raw_xxx_func是存放原系统调用地址,定义如下:
//
#include <linux/syscalls.h>// 定义系统调用函数指针类型
typedef asmlinkage long (*openat_t)(int dfd, const char __user *filename, int flags, int mode);
typedef asmlinkage ssize_t (*write_t)(int fd, void *buf, size_t count);
typedef asmlinkage ssize_t (*read_t)(int fd, void *buf, size_t count);// 声明函数指针变量
asmlinkage openat_t raw_openat_func = NULL;
asmlinkage write_t raw_write_func = NULL;
asmlinkage read_t raw_read_func = NULL;
3、替换系统调用为自定义函数
这一步其实是最关键的,因为系统调用地址所在内核内存地址为只读的,直接去写的话,会导致内核崩溃,所以你看我们x86_64、aarch64上,这步都是需要去先禁掉写保护,然后再去写。
但是mips64上,却没有这种机制,我们可以直接替换掉系统调用地址:
sys_call_table_ptr[__NR_openat - __NR_Linux] = (openat_t)my_stub_openat;
sys_call_table_ptr[__NR_write - __NR_Linux] = (write_t)my_stub_write;
sys_call_table_ptr[__NR_read - __NR_Linux] = (read_t)my_stub_read;其中my_stub_xxx是我们自定义的,用来替换原系统调用的函数,他的定义如下:
asmlinkage long my_stub_openat(int dfd, const char __user *filename, int flags, int mode);
asmlinkage ssize_t my_stub_write(int fd, void *buf, size_t count);
asmlinkage ssize_t my_stub_read(int fd, void *buf, size_t count);通常,在my_stub_xxx中,我们最后还是要调用原系统调用raw_xxx_func,防止搞坏系统。
我们可以在我们的my_stub_xxx中执行我们的逻辑,比如在openat中打印当前进程信息及其要打开的文件名:
asmlinkage long my_stub_openat(int dfd, const char __user *filename, int flags, int mode)
{long value = -1;static int count = 0;char *kfilename = NULL;kfilename = kzalloc(1024, GFP_KERNEL);if(kfilename != NULL){if (unlikely(copy_from_user(kfilename, filename, 1024) == 1024)){printk("[err] %s. copy_from_user failed, pathname:%lx.\n", __func__, filename);goto openat_out;}}printk("[info] %s. dfd:%d, flags:%x, mode:0%o, filename:0x%lx[%s], current_pid:%d, current_tgid:%d, current_comm:%s.\n",__func__, dfd, flags, mode, filename, kfilename?kfilename:"NULL", current->pid, my_get_pid(), get_proc_name());openat_out:kfree(kfilename);value = raw_openat_func(dfd, filename, flags, mode);return value;
}4、卸载时要还原系统调用
卸载模块时,需要将sys_call_table数组中之前替换的系统调用,还原回原系统调用地址,否则系统会崩溃:
if(sys_call_table_ptr[__NR_openat - __NR_Linux] == my_stub_openat)sys_call_table_ptr[__NR_openat - __NR_Linux] = raw_openat_func;if(sys_call_table_ptr[__NR_write - __NR_Linux] == my_stub_write)sys_call_table_ptr[__NR_write - __NR_Linux] = raw_write_func;if(sys_call_table_ptr[__NR_read - __NR_Linux] == my_stub_read)sys_call_table_ptr[__NR_read - __NR_Linux] = raw_read_func;5、demo运行展示
代码写好之后,再写个Makefile文件,然后编译代码:
①执行insmod命令加载内核模块,查看系统日志:
②执行rmmod命令卸载该内核模块,系统日志输出如下:
完结。
感兴趣的话,可以关注我的微信公众号大胖聊编程,获取示例代码,和我一起交流学习。
这篇关于Linux MIPS64下hook系统调用(kylin server v10)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
