通过系统调用,内核断点方法定位用户进程被内核踩内存的问题

最新推荐文章于 2025-06-06 17:07:27 发布
原创 最新推荐文章于 2025-06-06 17:07:27 发布 · 610 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了通过系统调用拦截和硬件断点来定位用户进程被内核踩内存的问题。首先,详细阐述了如何找到并修改`sys_call_table`地址,包括使用`module_get_symbol_by_name`函数以及读取`/proc/kallsyms`文件。接着,讨论了在修改系统调用地址时需要修改内存页属性以确保可写。此外,还提到了内核中的硬件断点工具,帮助快速定位内存访问问题。

1、系统调用拦截

系统调用拦截的目的其实就是把系统真正要执行的系统调用替换为我们自己写的内核函数,这里有一篇博客,对此作了介绍,https://blog.youkuaiyun.com/zhangyifei216/article/details/49872861

系统调用拦截的两个问题,一个是找到sys_call_table地址一个是修改内存页的属性,让其变为可写

1)找sys_call_table地址

我们可以通过两种方法来查找sys_call_table地址:

一、使用kallsyms_lookup_name

使用kallsyms_lookup_name函数,来读取对应的sys_call_table的地址,但是kallsyms_lookup_name这个函数能否可以被我们使用,能否在我们写的内核模块中导出。

这要看内核代码中是否有加入EXPORT_SYMBOL

EXPORT_SYMBOL标签内定义的函数或者符号对全部内核代码公开,
不用修改内核代码就可以在您的内核模块中直接调用,
即使用EXPORT_SYMBOL可以将一个函数以符号的方式导出给其他模块使用。

使用方法
第一、在模块函数定义之后使用EXPORT_SYMBOL(函数名)
第二、在掉用该函数的模块中使用extern对之声明
第三、首先加载定义该函数的模块,再加载调用该函数的模块

通过查看内

最低0.47元/天 解锁文章
【ARMv8/v9 异常模型入门及渐进 13 -- ARM Linux 系统调用流程分析】
CodingCos的博客
07-24 694
这是因为当进程用户态运行时,使用的用户栈,当进程陷入到内核态时,内核保存进程内核态运行的相关信息,但是一旦进程返回到用户态后,内核栈中保存的信息无效,会全部恢复,因此每次进程用户态陷入内核的时候得到的内核栈都是空的。,这个地址在 MMU 中进行了权限的限制,所以当mmu 检测到用户空间地址后,会禁止其对内核空间进行访问,IO/memory的地址空间都位于内核空间,所以用户空间的进程是无法访问的。被存放在栈的顶部,也就是内核栈中的最低地址,内核栈的使用从栈底开始,一直向下增长,当增长过程触及到。
windbg kd 内核调试状态下调试用户某个进程
zhangyihu321的专栏
12-01 888
process 0 0 notepad.exe # 找进程。kd> g # 继续执行。.process /i /p # 通知调试器切换进程。process 0 0 notepad.exe # 查找记事本进程。.process /r /p # 刷新地址空间。process 0 0 # 简单列。process 0 7 # 详细信息。
Linux 内核函数kallsyms_lookup_name
小立仔
08-25 4875
Linux 内核函数kallsyms_lookup_name 函数的使用以及其源码解析
【深入解析】Linux模块化设计(6):从 /proc/kallsyms 到 kallsyms_lookup_name:内核符号查找机制深度揭秘
最新发布
NO_Dream_的博客
06-06 449
作用:根据给定字符串名字,返回该符号对应的地址;其实现是一个遍历内核符号(kallsyms)的过程。是内核内置符号查询器;它帮助模块动态解析未导出的符号;默认不导出,需要自行改内核启用;是用户态访问的窗口。
Unexporting kallsyms_lookup_name
Mr0cheng的专栏
03-16 1415
kallsyms_lookup_name函数可以通过函数名字获取对应的地址。unexporting kallsyms_lookup_name意味着out-of-tree的驱动不能够利用kallsyms_lookup_name函数调用未导出的内核函数。 unexporting kallsyms_lookup_name可能会造成的影响如下: live patch:live patch需要kallsy...
内核地址空间
01-30
Linux内核中对线性地址空间的划分:4G的线性地址空间被划分为用户空间和内核空间两部分,这两部分的大小有宏PAGE_OFFSET决定,在x86体系结构中该宏的值一般为0xC0000000UL。也就是说内核线性地址的空间只有1GB大小,而只有将系统中的物理内存映射到这1GB的内核线性地址空间中。内核态的执行路径才能访问和使用这些物理内存。除此之外。内核还需要在这有限的1GB的内核线性地址空间中为固定映射、长久映射、非连续映射预留一些虚拟的地址空间。这些虚拟空间分别有不同的用途。
kallsyms_lookup_name使用简介
microsko的专栏
11-25 4090
使用kallsyms_lookup_name函数,可以在内核态实现类似动态链接的功能,是的模块之间的依赖进一步解耦合。
C语言_Linux ARM64内核硬件进程内存读写驱动硬件断点调试驱动硬件级读写Linux进程内存硬件级下断点.zip
11-13
本文将详细介绍基于C语言开发的Linux ARM64环境下,对内核硬件进程...涉及到的关键技术包括内核模块开发、内核内存管理、硬件断点设置以及高级调试技术。掌握这些技术对于进行Linux系统底层开发与优化具有重要意义。
Linux 系统内核级软件的调试技术(一)
07-21
kdb允许开发者在系统运行时检查内核内存和数据结构,能够提供系统停止或运行时的高级调试功能。尽管它不是Linux内核源代码树的原生部分,通过补丁的方式被广泛使用,提供了强大的调试能力。尽管在某些情况下,非官方...
内核查找符号指针函数kallsyms_lookup_name
yongjong的专栏
08-03 4717
openEuler linux kernel kallsyms_lookup_name
linux内核访问外设IO内存方法
04-30
详细介绍了LINUX如何访问外设IO内存方法,包括动态访问和静态映射
Linux内核编程——进程内存窥探修改器(全网最详)
life_forwin的博客
03-07 2891
Linux内核编程——进程内存窥探修改器 文章目录Linux内核编程——进程内存窥探修改器关键词主要功能设计思路代码解读运行结果遇到的问题内容总结参考文献 关键词 内核模块法;带参数的系统调用;虚拟内存管理;虚拟地址映射为物理地址;私有内存的入侵读写; 主要功能 使用内核模块法向Linux内核增加两个系统调用系统调用号分别为335和336 。 335号系统调用:使用此系统调用能够读取任意进程的任意虚拟地址范围内的内容。 336号系统调用:使用此系统调用能够修改任意进程的任意虚拟地址范围内的内容。 两者都
LWN:不再export kallsyms_lookup_name()!
Linux News搬运工
03-16 4617
关注了就能看到更多这么棒的文章哦~Unexporting kallsyms_lookup_name()ByJonathan CorbetFebruar...
linux内核查找符号
faxiang1230的专栏
04-14 2183
从Linux内核的2.6某版本开始,内核引入了导出符号的机制,在内核中使用EXPORT_SYMBOL或EXPORT_SYMBOL_GPL导出的符号可以在其他内核模块中直接使用。但是并不是所有的符号都被导出了,这时候如果想要使用未导出的符号呢? 1.kallsyms_lookup_name读取 依赖于CONFIG_KALLSYMS,kallsyms_lookup_name在大多数情况下是被导出了,可...
linux内核模块包含函数,linux 内核模块链接过程
weixin_34668147的博客
04-30 378
原标题:linux 内核模块链接过程学无止境,一直在做内核开发,却从来没有仔细想过这个过程。因为所有的程序都有个编译,链接的过程。在linux内核模块中,我们可以使用很多内核export出的函数,来实现我们的功能,作为内核附属功能的扩展。但是这些export出来的函数在hook的时候是远远不够用的,所以我们往往还要获取一些没有export出来的函数。使用这些没有export出来的函数就要我们清楚的...
获得内核函数地址的四种方法
热门推荐
OSKernelLAB(gatieme)
10-22 1万+
优快云 GitHub 获得内核函数地址的四种方法 LinuxDeviceDrivers/study/debug/filesystem/procfs/func_addr 本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可, 转载请注明出处, 谢谢合作因本人技术水平和知识面有限, 内容如有纰漏或者需要修正的地方, 欢迎大家指正, 也欢迎大家提供一些其他好的调试工
操作系统面经-什么是系统调用
weixin_65113709的博客
03-23 2179
处于用户态的进程有诸多限制(如不能进行 I/O 操作),所以有些功能必须由内核代劳完成。说白了,系统调用其实就是函数调用,只不过调用的是内核态的函数。控制寄存器的第 16 位是写保护位,若设置为零,则允许超级权限往内核中写入数据。是一份内核符号,包含了内核中的变量名和函数名地址,在每次编译内核时,自动生成。当应用程序需要调用一个系统调用时,首先需要将要调用系统调用号(也就是系统调用所在。了解了系统调用的原理后,要拦截系统调用就很简单了。是内核提供给应用程序使用的功能函数,由于应用程序一般运行在。
往linux内核函数挂钩子
Herok
11-28 5730
概述 本文讲解替换一个已经在内存中的函数,使得执行流流入我们自己的逻辑,然后再调用原始的函数。比如有个函数叫做funcion,而你希望统计一下调用function的次数,最直接的方法就是如果有谁调用function的时候,调到下面这个函数就好了。 void new_function() {          count++;          return function(); } ...
linux内核模块导出函数
weixin_33734785的博客
06-04 631
一个模块可以使用另一个模块导出的函数,可以通过函数EXPORT_SYMBOL(func_name)来导出,导出后的函数位于/proc/kallsyms文件中。 1. 导出代码: #include <linux/init.h> #include <linux/module.h> MODULE_LICENSE("Dua...
Linux系统调用内核机制深度解析
系统调用对应于软件工程中定义的“接口”,为运行在用户态的程序提供了一组标准的、受控的方法来请求内核态提供的服务。这包括但不限于文件操作、进程控制、通信、时间管理、设备管理等。 - 文件操作:读写文件、...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值