Linux MIPS64下hook系统调用（kylin server v10）

本文主要是介绍Linux MIPS64下hook系统调用（kylin server v10），希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

之前已经写过几篇关于linux下hook系统调用的文章：

x86_64下系列hook文章：

hook系统调用完整实例

Linux系统中获取系统调用表(system call table)地址的几种方法

Linux Hook系统调用(适用于RHEL/CentOS8.x 基于4.18.0内核版本)

Linux内核 hook execve系统调用(监控应用程序启动行为)

Linux下监控所有进程的退出事件

arm64下hook文章：

Linux ARM64平台上Hook系统调用（以openat为例）

以上基于x86_64的那几篇可以参考arm64hook的方法移植到arm64平台上。

本文基于mips64平台，实际写个demo介绍如何在mips64下hook系统调用，这里只介绍基于syscall table的hook。

本文测试机cpu是Loongson-3A R4 (Loongson-3A4000)，系统是银河麒麟v10 mips64版，测试环境：

内核版本为：4.19.90-23.13.v2101.ky10.mips64el

下面言归正传，如何在mips64下hook基于系统调用表的系统调用呢？

1、获取syscall_table地址

2、确定要hook的系统调用在syscall_table中的数组下标

3、替换系统调用为自定义函数

4、卸载时要还原系统调用

5、demo运行展示

1、获取syscall_table地址

通过kprobe机制获取，代码如下：

// 包含kprobe所需头文件
#include <linux/kprobes.h>// 定义一个kprobe变量，吧symbol_name字段赋值为sys_call_table
static struct kprobe kp_sys_call_table={.symbol_name = "sys_call_table",
};// 注册kprobe
int ret = register_kprobe(&kp_sys_call_table);
if(ret < 0){printk("[err] %s. register_kprobe failed, ret:%d\n", __func__, ret);return ret;
}// 注册成功，则会获取到该符号的地址
sys_call_table_ptr = (long long)(void*)kp_sys_call_table.addr;
printk("[info] %s, get_orignal_system_call:%lx!\n", __func__, sys_call_table_ptr);// 注销kprobe
unregister_kprobe(&kp_sys_call_table);

2、确定要hook的系统调用在syscall_table中的数组下标

这里也即是__NR_xxx宏，在x86_64及aarch64上我们都是可以直接用这个宏作为sys_call_table数组下标的，但是在mips64上这个宏的值有点特殊，它被加上了__NR_Linux，如果你直接用__NR_xxx作为sys_call_table数组下标的话，获取的地址是不对的，这里我们以openat系统调用为例，在内核源码中搜索如下：

[root@kvm-mips64-test test]# grep -nr __NR_openat /usr/src/kernels/4.19.90-23.13.v2101.ky10.mips64el/
/usr/src/kernels/4.19.90-23.13.v2101.ky10.mips64el/arch/mips/include/uapi/asm/unistd.h:311:#define __NR_openat                  (__NR_Linux + 288)
/usr/src/kernels/4.19.90-23.13.v2101.ky10.mips64el/arch/mips/include/uapi/asm/unistd.h:659:#define __NR_openat                  (__NR_Linux + 247)
/usr/src/kernels/4.19.90-23.13.v2101.ky10.mips64el/arch/mips/include/uapi/asm/unistd.h:1011:#define __NR_openat                 (__NR_Linux + 251)
/usr/src/kernels/4.19.90-23.13.v2101.ky10.mips64el/include/uapi/asm-generic/unistd.h:181:#define __NR_openat 56
/usr/src/kernels/4.19.90-23.13.v2101.ky10.mips64el/include/uapi/asm-generic/unistd.h:182:__SC_COMP(__NR_openat, sys_openat, compat_sys_openat)

在arch/mips/include/uapi/asm/unistd.h文件中有__NR_Linux的宏定义：

所以我们要的数组下标就是_NR_xxx-__NR_Linux，代码示例如下：

raw_openat_func = (openat_t)sys_call_table_ptr[__NR_openat - __NR_Linux];
raw_write_func = (write_t)sys_call_table_ptr[__NR_write - __NR_Linux];
raw_read_func = (read_t)sys_call_table_ptr[__NR_read - __NR_Linux];

这里raw_xxx_func是存放原系统调用地址，定义如下：

// 
#include <linux/syscalls.h>// 定义系统调用函数指针类型
typedef asmlinkage long (*openat_t)(int dfd, const char __user *filename, int flags, int mode);
typedef asmlinkage ssize_t (*write_t)(int fd, void *buf, size_t count);
typedef asmlinkage ssize_t (*read_t)(int fd, void *buf, size_t count);// 声明函数指针变量
asmlinkage openat_t raw_openat_func = NULL;
asmlinkage write_t raw_write_func = NULL;
asmlinkage read_t raw_read_func = NULL;

3、替换系统调用为自定义函数

这一步其实是最关键的，因为系统调用地址所在内核内存地址为只读的，直接去写的话，会导致内核崩溃，所以你看我们x86_64、aarch64上，这步都是需要去先禁掉写保护，然后再去写。

但是mips64上，却没有这种机制，我们可以直接替换掉系统调用地址：

sys_call_table_ptr[__NR_openat - __NR_Linux] = (openat_t)my_stub_openat;
sys_call_table_ptr[__NR_write - __NR_Linux] = (write_t)my_stub_write;
sys_call_table_ptr[__NR_read - __NR_Linux] = (read_t)my_stub_read;

其中my_stub_xxx是我们自定义的，用来替换原系统调用的函数，他的定义如下：

asmlinkage long 	my_stub_openat(int dfd, const char __user *filename, int flags, int mode);
asmlinkage ssize_t	my_stub_write(int fd, void *buf, size_t count);
asmlinkage ssize_t 	my_stub_read(int fd, void *buf, size_t count);

通常，在my_stub_xxx中，我们最后还是要调用原系统调用raw_xxx_func，防止搞坏系统。

我们可以在我们的my_stub_xxx中执行我们的逻辑，比如在openat中打印当前进程信息及其要打开的文件名：

asmlinkage long my_stub_openat(int dfd, const char __user *filename, int flags, int mode)
{long value = -1;static int count = 0;char *kfilename = NULL;kfilename = kzalloc(1024, GFP_KERNEL);if(kfilename != NULL){if (unlikely(copy_from_user(kfilename, filename, 1024) == 1024)){printk("[err] %s. copy_from_user failed, pathname:%lx.\n", __func__, filename);goto openat_out;}}printk("[info] %s. dfd:%d, flags:%x, mode:0%o, filename:0x%lx[%s], current_pid:%d, current_tgid:%d, current_comm:%s.\n",__func__, dfd, flags, mode, filename, kfilename?kfilename:"NULL", current->pid, my_get_pid(), get_proc_name());openat_out:kfree(kfilename);value = raw_openat_func(dfd, filename, flags, mode);return value;
}

4、卸载时要还原系统调用

卸载模块时，需要将sys_call_table数组中之前替换的系统调用，还原回原系统调用地址，否则系统会崩溃：

if(sys_call_table_ptr[__NR_openat - __NR_Linux] == my_stub_openat)sys_call_table_ptr[__NR_openat - __NR_Linux] = raw_openat_func;if(sys_call_table_ptr[__NR_write - __NR_Linux] == my_stub_write)sys_call_table_ptr[__NR_write - __NR_Linux] = raw_write_func;if(sys_call_table_ptr[__NR_read - __NR_Linux] == my_stub_read)sys_call_table_ptr[__NR_read - __NR_Linux] = raw_read_func;