在内核中寻找内核符号表

from:http://hi.baidu.com/wzt85/blog/item/eb8546f2a64e7616b17ec548.html

 

在用户空间中可以用如下方法得到：

1. 从 System.map 文件直接得到地址。
   例如，要得到 do_fork 的地址，可以在命令行执行 $grep do_fork /usr/src/linux/System.map 。
2. 使用 nm 命令。
   $nm vmlinuz |grep do_fork
3. 从 /proc/kallsyms 文件获得地址。
   $cat /proc/kallsyms |grep do_fork

在2.6较早的版本中可以用kallsyms_lookup_name()来查找， 但是在我得2.6.18中好像没有导出。

贴一下wnps0.26中使用的方法， 前几天看了下《LKM Rootkits on Linux x86 v2.6》的中文版，里面有段寻找内核符号的代码， 怎么看都眼熟， 在仔细看原来是偶wnps的代码^_^

/**
* read_kallsyms - find sysenter address in /proc/kallsyms.
*
* success return the sysenter address,failed return 0.
*/
#define SYSENTER_ENTRY "sysenter_entry"
int read_kallsyms(void)
{
   mm_segment_t old_fs;
   ssize_t bytes;
   struct file *file = NULL;
   char *p,temp[20];
   int i = 0;

   file = filp_open(PROC_HOME,O_RDONLY,0);
   if (!file)
       return -1;

   if (!file->f_op->read)
       return -1;

   old_fs = get_fs();
   set_fs(get_ds());

   while ((bytes = file->f_op->read(file,read_buf,BUFF,&file->f_pos))) {
       if (( p = strstr(read_buf,SYSENTER_ENTRY)) != NULL) {
           while (*p--)
               if (*p == '/n')
                   break;

           while (*p++ != ' ') {
               temp[i++] = *p;
           }
           temp[--i] = '/0';
           sysenter = simple_strtoul(temp,NULL,16);
#if DEBUG == 1
           printk("sysenter: 0x%8x/n",sysenter);
#endif
           break;
       }
   }


   filp_close(file,NULL);

   return 0;
}