Linux内核函数地址获取秘籍:多种方法解析

于 2023-12-22 22:00:00 发布
阅读量1.3k 收藏 26
点赞数 14
CC 4.0 BY-SA版权
分类专栏: Linux 文章标签: linux 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/GitHub_miao/article/details/135103356
本文详细介绍了在Linux内核开发中获取函数地址的五种方法:System.map文件、内核符号表、内核模块、头文件和内核符号导出,适合开发者进行hooking、trace或模块加载等操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在Linux内核开发和调试中,经常需要获取内核函数的地址以进行进一步的操作,例如hooking、trace或者模块加载。本文将介绍几种获取内核函数地址的方法,包括示例代码和详细说明。

方法一:通过System.map文件

Linux内核构建时会生成一个System.map文件,其中包含了内核中各个函数的地址信息。通过这个文件,您可以获取函数的地址。

示例代码:

# 查找System.map文件
find /usr/src/linux -name System.map*

# 使用grep查找函数地址
grep functionName /usr/src/linux/System.map

说明:

  • 首先,使用find命令查找System.map文件的位置。
  • 然后,使用grep命令查找特定函数的地址。

方法二:通过内核符号表

Linux内核在/proc/kallsyms中维护了一个内核符号表,包含了函数的地址信息。可以通过读取这个文件来获取函数地址。

示例代码:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

int main(int argc, char *argv[]) {
    if (argc != 2) {
        fprintf(stderr, "Usage: %s function_name\n", argv[0]);
        exit(1);
    }

    char cmd[256];
    snprintf(cmd, sizeof(cmd), "cat /proc/kallsyms | grep ' %s$'", argv[1]);

    FILE *fp = popen(cmd, "r");
    if (fp == NULL) {
        perror("popen");
        exit(1);
    }

    char line[256];
    while (fgets(line, sizeof(line), fp) != NULL) {
        printf("%s", line);
    }

    pclose(fp);
    return 0;
}

说明:

  • 通过/proc/kallsyms文件读取内核符号表中的信息。
  • 使用grep命令查找特定函数名。
  • 输出包含函数地址的行。

方法三:通过内核模块

还可以通过编写一个内核模块来获取内核函数的地址。这种方法需要一定的内核编程知识。

示例代码:

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/kallsyms.h>

static int __init get_function_address_init(void) {
    void *func_addr = (void *)kallsyms_lookup_name("function_name");
    if (func_addr) {
        printk(KERN_INFO "Function address: %p\n", func_addr);
    } else {
        printk(KERN_ERR "Function not found\n");
    }
    return 0;
}

static void __exit get_function_address_exit(void) {
    printk(KERN_INFO "Module unloaded\n");
}

module_init(get_function_address_init);
module_exit(get_function_address_exit);

MODULE_LICENSE("GPL");

说明:

  • 编写一个加载模块,使用kallsyms_lookup_name函数来获取函数地址。
  • 在模块加载时打印函数地址。
  • 在模块卸载时清理。

方法四:通过内核头文件

如果在内核模块编程中,可以直接包含内核头文件并使用函数指针来获取函数地址。

示例代码:

#include <linux/module.h>
#include <linux/kernel.h>

int (*function_ptr)(int arg1, int arg2);

static int __init function_address_init(void) {
    function_ptr = (int (*)(int, int))symbol_address;
    if (function_ptr) {
        printk(KERN_INFO "Function address: %p\n", function_ptr);
    } else {
        printk(KERN_ERR "Function not found\n");
    }
    return 0;
}

static void __exit function_address_exit(void) {
    printk(KERN_INFO "Module unloaded\n");
}

module_init(function_address_init);
module_exit(function_address_exit);

MODULE_LICENSE("GPL");

说明:

  • 包含所需的内核头文件。
  • 使用函数指针类型声明一个函数指针,并将其初始化为函数的地址。
  • 在模块加载时打印函数地址。
  • 在模块卸载时清理。

方法五:通过内核符号导出

Linux内核允许将内核函数导出为模块外部可访问的符号,这使得从模块外部获取函数地址变得更加容易。以下是通过导出内核符号的方法。

示例代码:

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/init.h>

/* 定义一个内核函数 */
int my_kernel_function(int arg1, int arg2) {
    return arg1 + arg2;
}
EXPORT_SYMBOL(my_kernel_function);  // 导出函数符号

static int __init get_function_address_init(void) {
    int (*function_ptr)(int arg1, int arg2);

    /* 获取导出的内核函数地址 */
    function_ptr = my_kernel_function;
    
    if (function_ptr) {
        printk(KERN_INFO "Function address: %p\n", function_ptr);
    } else {
        printk(KERN_ERR "Function not found\n");
    }
    return 0;
}

static void __exit get_function_address_exit(void) {
    printk(KERN_INFO "Module unloaded\n");
}

module_init(get_function_address_init);
module_exit(get_function_address_exit);

MODULE_LICENSE("GPL");

说明:

  • 在内核模块中定义一个内核函数,并使用EXPORT_SYMBOL宏将其导出。
  • 在模块加载时,可以直接访问导出的函数符号,无需额外的查找。

总结

本文介绍了五种获取内核函数地址的方法,包括使用System.map文件、读取内核符号表、编写内核模块、使用内核头文件以及通过内核符号导出。每种方法都有其适用场景和用途,可以根据具体需求选择最合适的方法。

通过这些方法,可以在Linux内核开发和调试中更方便地获取内核函数地址,从而进行进一步的操作。希望这些示例代码和详细说明对大家有所帮助,可以更好地理解和应用这些方法。

另外,我们还为大家准备了Linux全套学习资料,小伙伴们记得来找我领取哦!
在这里插入图片描述

领取方式

扫描下方二维码,回复666,即可获取全套资料。

扫描二维码,回复【666】
Linux内核调试篇——获取内核函数地址的四种方法
生活需要深度
06-26 726
内核调试中,经常需要知道某个函数地址,或者根据函数地址找到对应的函数,从而进行更深一步的debug。
Linux内核技术】地址空间与内存管理机制解析:虚拟内存、页管理及内存分配函数详解
04-19
内容概要:本文深入探讨了Linux内核中的内存管理机制,涵盖从内存管理的基本概念到具体实现细节。首先介绍了内存管理的重要性,强调其对系统性能和稳定性的关键作用。接着详细解析了虚拟地址空间的架构,包括用户...
C/C++ 获取函数地址
lhh_qrsly的博客
05-24 7953
C C语言中没有类的概念,只有普通的函数。通过函数名就可以得到函数地址 #include <stdio.h> #include <stdlib.h> void fun() { } int main() { printf("%p\n", &fun); } 对于 fun 和 &fun 应该这样理解: fun 是函数的首地址,它的类型是 void () &fun 表示一个指向函数 fun 这个对象的地址, 它的类型是 void (*)() 因此 fun 和
获取函数地址方法
一个勤奋的coder的博客
07-06 1859
获取函数地址
获得内核函数地址的四种方法
weixin_30823001的博客
01-05 305
本文以获取内核函数 sys_open()的地址为例。 1)从System.map文件中直接得到地址: $grep sys_open /usr/src/linux/System.map 2)使用 nm 命令: $nm vmlinuz | grep sys_open 3)从 /proc/kallsyms 文件获得地...
手动获取函数地址
tutucoo
11-27 3076
编写病毒程序时,由于各种原因不能直接调用函数,所以需要手动获取函数然后调用它。最常见手动获取函数地址方法是通过获取kernel32.dll句柄,然后遍历kernel32.dll的导出表找到它的GetProcAddress()函数,再通过向这个函数传递函数名就可以获取函数地址了,最后通过一个函数指针就可以调用获取函数。 主要步骤 1.通过fs寄存器获取到TEB的地址 2.通过teb+0x30...
VC中获取函数的真实地址
Fyter's BLog
10-25 4709
我有一个需求,是获取函数的机器码,但是我直接用函数地址来读取却读不到,后来听说是虚函数地址。经过研究可以计算出函数的真实地址: // 计算函数真实地址 unsigned char* funaddr= (unsigned char*)f;//void f(){} if(funaddr[0]==0xE9)// 判断是否为虚拟函数地址,E9为jmp指令 {  unsigned long rea
Linux内核函数调用关系的验证方法.pdf
09-06
Linux内核函数调用关系的验证方法Linux内核是开源操作系统的核心,其功能强大且复杂,被广泛应用于各种领域。理解内核的工作机制对于系统开发和优化至关重要。目前,学习Linux内核的主要方式包括阅读教科书、...
Linux内核开发】调试方法框架全解析:从准备工作到高级工具的应用与展望
最新发布
05-04
内容概要:本文全面介绍了Linux内核开发调试方法框架,涵盖调试前的准备工作、关键配置项解析、引发bug与打印信息技巧、常用调试工具及技术等。首先强调了确认bug存在、了解内核版本号、深入理解内核代码、确保bug可...
Linux内核开发】调试方法框架全解析:从准备工作到高级工具的应用与优化
05-04
内容概要:本文深入探讨了Linux内核开发调试方法框架,全面覆盖了从前期准备到具体调试工具和技术的应用。文章首先介绍了Linux内核的重要性及其开发挑战,强调了调试在内核开发中的关键作用。随后,详细阐述了调试前...
总结C++中取成员函数地址的几种方法
weixin_34081595的博客
08-17 623
  这里, 我整理了4种C++中取成员函数地址方法, 第1,2,4种整理于网上的方法, 第3种cdecl_cast是我自己想到的.  其中, 第4种(汇编)的方法不能在VC6上编译通过. 推荐使用第1,2种方法(pointer_cast 和 union_cast).  至于:为什么要取成员函数地址? 因为可以通过一定的手段 让成员函数作为回调函数, 而不再使用全局的静态函数.  天气热,话不多...
驱动开发:取进程模块的函数地址
热门推荐
优快云
06-28 1万+
在笔者上一篇文章`《驱动开发:内核取应用层模块基地址》`中简单为大家介绍了如何通过遍历`PLIST_ENTRY32`链表的方式获取到`32位`应用程序中特定模块的基地址,由于是入门系列所以并没有封装实现太过于通用的获取函数,本章将继续延申这个话题,并依次实现通用版`GetUserModuleBaseAddress()`取远程进程中指定模块的基址和`GetModuleExportAddress()`取远程进程中特定模块中的函数地址,此类功能也是各类安全工具中常用的代码片段。
Linux内核调试篇——获取内核函数地址的四种方法(一文解决)
youzhangjing_的博客
11-20 1328
内核调试中,经常需要知道某个函数地址,或者根据函数地址找到对应的函数,从而进行更深一步的debug。命令是用于查看二进制文件(如可执行文件、目标文件、库)的符号表的工具,所以可以用。由于vmlinux比较大,如果要查找某个函数地址,需要使用grep进行过滤。内核符号表是一个映射,它将内核代码段中的地址映射到对应的函数名或全局变量名。这会返回与指定函数名匹配的符号的地址、类型和名称。等工具来查看它的符号表,从而获取函数地址。反汇编出来,得到的反汇编文件就会包含。编译出来的内核映像文件,可以通过。
linux查看函数的回溯函数
野生猿-群号1025127672
05-28 805
所谓回溯,就是查看谁在调用某个函数。最直接的方法就是用sourceInsight,右击某个函数-&gt;选择jump to caller,这种方法有时候会产生很多调用者,看不出到底是谁在调用。另一种方法就是运行时打印,linux提供了回溯的功能,在想要回溯的函数中,加入代码:dump_stack();运行时在控制台就会看到打印,依次打印出了谁在调用它,一直回溯到最上层的应用层函数...
查找linux内核指定地址对应的函数
boywhp的专栏
12-20 3399
对于2.4内核和2.6内核内核符号表是有区别的,2.4内核默认情况下模块中的非静态全局变量以及非静态函数在模块加载后会自动导出到内核符号表中,而2.6内核默认情况下是不会自动导出的,需要显式调用宏EXPORT_SYMBOL才能导出。导出的符号前面一般标注有r标记。可以通过nm -l xx.ko来查看某一个模块里的符号情况。或者通过查看内核符号表文件也行。对于2.4是:cat /proc/ksyms,对于2.6是:cat /proc/kallsyms.因此cat /proc/kallsym | grep x
通过符号文件获取函数地址
125096
06-27 3531
//通过符号文件获取函数地址 #include #include #include #include #include "ntdll.h" #pragma comment(lib,"dbghelp.lib") //获取函数地址PDB ULONG_PTR GetFunctionAddressPDB(HMODULE hMod, const WCHAR * szApiName) {
linux 根据进程号查询运行程序及地址
weixin_45456178的博客
08-03 980
linux小技巧
System.map文件的作用
weixin_34023982的博客
02-01 485
有关System.map文件的信息好象很缺乏。其实它一点也不神秘,并且在整个事情当中它并不象看上去那么得重要。但是由于缺乏必要的文档说明,使其显得比较神秘。它就象耳垂,我们每个人都有,但却不知道是干什么用的。本网页就是用来说明这个问题的。 注意,我并不会是百分之一百正确的。例如,一个系统很可能没有/proc文件系统支持,但是大多数系统肯定有。这里我假定你是“随大流的”,并有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值