通过系统调用,内核断点方法定位用户进程被内核踩内存的问题

最新推荐文章于 2025-06-06 17:07:27 发布
原创 最新推荐文章于 2025-06-06 17:07:27 发布 · 586 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了通过系统调用拦截和硬件断点来定位用户进程被内核踩内存的问题。首先,详细阐述了如何找到并修改`sys_call_table`地址,包括使用`module_get_symbol_by_name`函数以及读取`/proc/kallsyms`文件。接着,讨论了在修改系统调用地址时需要修改内存页属性以确保可写。此外,还提到了内核中的硬件断点工具,帮助快速定位内存访问问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、系统调用拦截

系统调用拦截的目的其实就是把系统真正要执行的系统调用替换为我们自己写的内核函数,这里有一篇博客,对此作了介绍,https://blog.youkuaiyun.com/zhangyifei216/article/details/49872861

系统调用拦截的两个问题,一个是找到sys_call_table地址一个是修改内存页的属性,让其变为可写

1)找sys_call_table地址

我们可以通过两种方法来查找sys_call_table地址:

一、使用kallsyms_lookup_name

使用kallsyms_lookup_name函数,来读取对应的sys_call_table的地址,但是kallsyms_lookup_name这个函数能否可以被我们使用,能否在我们写的内核模块中导出。

这要看内核代码中是否有加入EXPORT_SYMBOL

EXPORT_SYMBOL标签内定义的函数或者符号对全部内核代码公开,
不用修改内核代码就可以在您的内核模块中直接调用,
即使用EXPORT_SYMBOL可以将一个函数以符号的方式导出给其他模块使用。

使用方法
第一、在模块函数定义之后使用EXPORT_SYMBOL(函数名)
第二、在掉用该函数的模块中使用extern对之声明
第三、首先加载定义该函数的模块,再加载调用该函数的模块

通过查看内

最低0.47元/天 解锁文章

200万优质内容无限畅学
【ARMv8/v9 异常模型入门及渐进 13 -- ARM Linux 系统调用流程分析】
CodingCos的博客
07-24 652
这是因为当进程用户态运行时,使用的用户栈,当进程陷入到内核态时,内核保存进程内核态运行的相关信息,但是一旦进程返回到用户态后,内核栈中保存的信息无效,会全部恢复,因此每次进程用户态陷入内核的时候得到的内核栈都是空的。,这个地址在 MMU 中进行了权限的限制,所以当mmu 检测到用户空间地址后,会禁止其对内核空间进行访问,IO/memory的地址空间都位于内核空间,所以用户空间的进程是无法访问的。被存放在栈的顶部,也就是内核栈中的最低地址,内核栈的使用从栈底开始,一直向下增长,当增长过程触及到。
windbg kd 内核调试状态下调试用户某个进程
zhangyihu321的专栏
12-01 665
process 0 0 notepad.exe # 找进程。kd> g # 继续执行。.process /i /p # 通知调试器切换进程。process 0 0 notepad.exe # 查找记事本进程。.process /r /p # 刷新地址空间。process 0 0 # 简单列。process 0 7 # 详细信息。
内核地址空间
01-30
Linux内核中对线性地址空间的划分:4G的线性地址空间被划分为用户空间和内核空间两部分,这两部分的大小有宏PAGE_OFFSET决定,在x86体系结构中该宏的值一般为0xC0000000UL。也就是说内核线性地址的空间只有1GB大小,而只有将系统中的物理内存映射到这1GB的内核线性地址空间中。内核态的执行路径才能访问和使用这些物理内存。除此之外。内核还需要在这有限的1GB的内核线性地址空间中为固定映射、长久映射、非连续映射预留一些虚拟的地址空间。这些虚拟空间分别有不同的用途。
内核查找符号指针函数kallsyms_lookup_name
yongjong的专栏
08-03 4517
openEuler linux kernel kallsyms_lookup_name
【深入解析】Linux模块化设计(6):从 /proc/kallsyms 到 kallsyms_lookup_name:内核符号查找机制深度揭秘
最新发布
NO_Dream_的博客
06-06 339
作用:根据给定字符串名字,返回该符号对应的地址;其实现是一个遍历内核符号(kallsyms)的过程。是内核内置符号查询器;它帮助模块动态解析未导出的符号;默认不导出,需要自行改内核启用;是用户态访问的窗口。
Unexporting kallsyms_lookup_name
Mr0cheng的专栏
03-16 1379
kallsyms_lookup_name函数可以通过函数名字获取对应的地址。unexporting kallsyms_lookup_name意味着out-of-tree的驱动不能够利用kallsyms_lookup_name函数调用未导出的内核函数。 unexporting kallsyms_lookup_name可能会造成的影响如下: live patch:live patch需要kallsy...
LWN:不再export kallsyms_lookup_name()!
Linux News搬运工
03-16 4498
关注了就能看到更多这么棒的文章哦~Unexporting kallsyms_lookup_name()ByJonathan CorbetFebruar...
linux内核查找符号
faxiang1230的专栏
04-14 2060
从Linux内核的2.6某版本开始,内核引入了导出符号的机制,在内核中使用EXPORT_SYMBOL或EXPORT_SYMBOL_GPL导出的符号可以在其他内核模块中直接使用。但是并不是所有的符号都被导出了,这时候如果想要使用未导出的符号呢? 1.kallsyms_lookup_name读取 依赖于CONFIG_KALLSYMS,kallsyms_lookup_name在大多数情况下是被导出了,可...
C语言_Linux ARM64内核硬件进程内存读写驱动硬件断点调试驱动硬件级读写Linux进程内存硬件级下断点.zip
11-13
本文将详细介绍基于C语言开发的Linux ARM64环境下,对内核硬件进程...涉及到的关键技术包括内核模块开发、内核内存管理、硬件断点设置以及高级调试技术。掌握这些技术对于进行Linux系统底层开发与优化具有重要意义。
Linux 系统内核级软件的调试技术(一)
07-21
kdb允许开发者在系统运行时检查内核内存和数据结构,能够提供系统停止或运行时的高级调试功能。尽管它不是Linux内核源代码树的原生部分,通过补丁的方式被广泛使用,提供了强大的调试能力。尽管在某些情况下,非官方...
ARM硬件断点
qq_42693685的博客
10-08 2826
文档可以在这个网站下载。hw_breakpoint 是由处理器提供专门断点寄存器来保存一个地址,是需要处理器支持的。处理器在执行过程中会不断去匹配,当匹配上后则会产生中断。可以看到应该是每个cpu都注册了一个。感觉应该是在一个cpu上注册,所有cpu都会去检查(原理不清楚,上面的文档没有看明白,猜测的)内核自带了硬件断点的样例linux-3.16\samples\hw_breakpoint\data_breakpoint.c。
检测内存是否被修改
03-17
直接代码 #include "GuardMemDll.h" #pragma comment (lib, "GuardMemDll.lib") int Test( int iTest) { if(0 == iTest ) MessageBox(NULL,"Mem Is Modified","",MB_OK); else MessageBox(NULL,"Mem is Ok","",MB_OK); return iTest; } int CALLBACK WinMain( HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nShowCmd ) { int iTest=1; CHostAssist assist; Test( iTest ); int iStat= assist.GuardMemDll( hInstance); if(1024 == iStat ) MessageBox(NULL,"Mem check ok","",MB_OK); else MessageBox(NULL,"Mem check false","",MB_OK); DWORD iWrite=0; char iData[]={0x90,0x90}; DWORD_PTR iPtr =(DWORD_PTR) hInstance + 0x2d6f0; void *pAdr = (void *)(iPtr + 0x22); WriteProcessMemory(GetCurrentProcess(), pAdr, iData, 2, &iWrite); Test( iTest ); int iStat1= assist.GuardMemDll( hInstance ); if(1024 == iStat1 ) MessageBox(NULL,"Mem check ok","",MB_OK); else MessageBox(NULL,"Mem check false","",MB_OK); return iStat; }
ARMV7官方数据手册
10-20
armv7架构的datasheet,详细的介绍了armv7架构的几种工作模式,以及各个模式寄存器功能等等。
使用data breakpoint 追踪地址寄存器被修改的问题
u012787604的博客
06-22 1406
一. 介绍 data breakpoint是一种特殊的断电,在处理检查到预设地址的值发生R/W操作时,发生断点中断。 二. 使用方法1 kernel有示例代码,在data_breakpoint.c中,在这里,kernel检查的是symbol的值发生变化,但是实际上测试发现直接使用寄存器地址也是可以的。      看看.config里面,CONFIG_SAMPLES是否选中。 位置在Kernel Hacking/Sample kernel code。 samples目录好像不在缺省编译的范围内,自己手动编译就
linux内核符号kallsyms
热门推荐
hunanchenxingyu的专栏
01-05 1万+
Linux内核符号/proc/kallsyms的形成过程 --------------------------------------------------------------------------- ./scripts/kallsyms.c负责生成System.map ./kernel/kallsyms.c负责生成/proc/kallsyms ./scripts/kal
模块API之lookup_module_symbol_name
jason的笔记
11-07 979
int lookup_module_symbol_name(unsigned long addr, char *symname) 用于返回addr 对应symbol的name 使用的例子如下: int lookup_symbol_name(unsigned long addr, char *symname) { symname[0] = '\0'; symname[KSYM_NAME_LEN
linux 定位 内存_通过系统调用内核断点方法定位用户进程内核内存问题...
weixin_35351343的博客
01-27 1233
请看我的上一篇博客,https://www.cnblogs.com/xingmuxin/p/11287935.html介绍了具体的内存问题。下面我来介绍下如何通过一些手段和方法定位内核内存问题。1、系统调用拦截系统调用拦截的两个问题,一个是找到sys_call_table地址,一个是修改内存页的属性,让其变为可写。1)找sys_call_table地址我们可以通过两种方法来查找sys_...
use hwbreakpoint to debug bad pmd issue
Hacker
03-02 2224
use hwbp to analysis bad pmd issue
从0到TrustZone第三篇:从QSEE劫持Linux内核
Share
12-22 4057
转载:http://www.freebuf.com/vuls/104733.html 本系列文章 在前一篇文章中,我们介绍了QSEE的漏洞及利用,接下来让我们将重点转移到QSEE shellcode。 之前讨论过,QSEE可以被提权——这里的提权不仅包含直接与TrustZone内核交互并访问硬件——安全的TrustZone文件系统(SFS),也包括一些系统内存的直接访问形
Linux系统调用内核机制深度解析
系统调用对应于软件工程中定义的“接口”,为运行在用户态的程序提供了一组标准的、受控的方法来请求内核态提供的服务。这包括但不限于文件操作、进程控制、通信、时间管理、设备管理等。 - 文件操作:读写文件、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值