本文介绍了在2.6.32内核中如何拦截系统调用,包括从System.map获取sys_call_table地址和通过改变CR0寄存器的WP位使其可写。在实施过程中遇到SMP环境下的问题,如中断导致的写保护错误,并提出了使用stop_machine解决多CPU环境下的问题。
在2.6.32实现拦截系统调用
1.获取sys_call_table的地址
方法1:从/boot/System.map中取到sys_call_table的地址
由上图所看:第一:sys_call_table是只读的,下面是如何使得它变为RW。
第二:这种方法获取的sys_call_table只是针对本机的,可移植性差
方法2:参考来源于:http://bbs.chinaunix.net/thread-1946913-1-1.html
通过中断向量表,找到系统调用的中断向量,再通过系统调用时执行的指令,最终找到系统调用表的地址。详情请阅读原文。
2. 设置sys_call_table可写
在Intel x86 CPU里,CR0寄存器的WP位是控制内存页面只读的,如果将该位清0,则可以对内存页面进行写操作。更深入的理解:http://www.cnblogs.com/bittorrent/p/3328238.html
WP位是Supervisor的写保护位 (CPL < 3是Supervisor)
当WP = 1时,Supervisor不能写R/W没有置位的页。
WP = 0时,Supervisor可以写任何页。
对于User (CPL = 3), 无论WP是什么,都不能写R/W没有置位的页。
代码实现:
清0以至于可写:
static void disable_page_protection(void)
{
unsigned long value;
asm volatile("mov %%cr0, %0" : "=r" (value));
if(value & 0x00010000){
value &= ~0x00010000;
asm volatile("mov %0, %%cr0" : : "r"(value));
}
}
}static void enable_page_protection(void)
{
unsigned long value;
asm volatile("mov %%cr0,%0" : "=r" (value));
if(!(value & 0x00010000)){
value |= 0x00010000;
asm volatile("mov %0,%%cr0" : : "r"(value));
}
}但是通过这两个函数去劫持系统调用时,总是出错。通过查看kdump得到的结论是,对c086b2c4不可写导致的,因此可以判断是清0不成功。
通过google,知道这是在SMP的中断导致的。
3. SMP导致不成功的解决方法:
1. cli sli关中断,参考原文:http://vulnfactory.org/blog/2011/08/12/wp-safe-or-not/ (没有实现)
2.使用stop_machine来实现,他把多CPU的其他CPU关掉,停止中断,在参数1的函数结束后恢复。
/*
* stop machine and run replace calls
* stop_machine: freeze the machine on all CPUs and run our replace function
* It disables the interrupts. Make sure the replace function
* would write the sys_call_table.
*/
ret = stop_machine(do_replace_calls, NULL, 0);static int do_replace_calls(void *arg)
{
disable_page_protection();
#define REPLACE(x) prov_old_##x = my_table[__NR_##x];\
my_table[__NR_##x] = prov_##x
REPLACE(open);
REPLACE(close);
REPLACE(mkdir);
REPLACE(read);
REPLACE(write);
#undef REPLACE
enable_page_protection();
return 0;
}
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
