linux内核hack-运行中动态添加系统调用

来源：互联网发布：中班亲子美工活动教案编辑：程序博客网时间：2024/06/05 03:36

LINUX中每次添加一个系统调用都要完成重新编译内核，然后制作initrd等工作，不得不说这是一件繁重的工作，很多人本来已经构思好了自己的一个系统调用，要添加到内核，然后却被这些工作所中断，毫不夸张的说，制作initrd就很麻烦，虽然基于cpio的initrd可以利用几条命令完成，然而只要有一个错误，你就不得不重启系统。
我们都知道，内核模块运行在内核态，可以访问所有的内存空间，那么能不能在系统运行期间，不用重新编译内核，而运用内核模块机制实现添加系统调用呢？答案是肯定的，因为一个基本原理：内核态能读写所有的内存，内存全部在我们手中，没有什么事情做不到，那么怎么做到呢？
如果我们了解了系统调用执行的过程，那么我们就知道在执行一个系统调用之前，有两个限制，第一就是系统调用数量在编译时定死，系统调用号必须在这个被允许的系统调用号区间内，第二就是系统调用表的地址未导出。由于系统调用入口也是一种中断/异常，因此我们看一下代码，看个究竟，基于i386的内核代码在arch/i386/kernel/entry.S(基于2.6.8内核，虽然有点老，但能说明问题)，我们看一下系统调用的入口

system_call：ENTRY(system_call) pushl %eax # save orig_eax SAVE_ALL GET_THREAD_INFO(%ebp) cmpl $(nr_syscalls), %eax #限制系统调用号在允许的范围内 jae syscall_badsys # system call tracing in operation testb $(_TIF_SYSCALL_TRACE|_TIF_SYSCALL_AUDIT),TI_flags(%ebp) jnz syscall_trace_entrysyscall_call: call *sys_call_table(,%eax,4) #调用系统调用，其中sys_call_table是系统调用表的地址 movl %eax,EAX(%esp) # store the return value...
通过以上的代码可以看出，如果我们想添加一个新的系统调用，第一，它的系统调用号不能超过nr_syscalls，第二，它的地址必须在系统调用表地址加上系统调用号*4的位置处，也就是说，满足这两个条件，内核逻辑就会将执行流路由到我们调用的系统调用服务程序。
     如果我们希望在系统运行期动态添加一个系统调用，那么就必须破除上述的两个神话。第一，我们必须修改nr_syscalls的值，第二，我们必须修改sys_call_table的值，并且新的sys_call_table内容值必须保留原有的sys_call_table内容值。这个需求怎么做到呢？很简单，扫面二进制机器码！记住，内存在我们手中，还要记住，我们的这次行为不是攻击行为，只是为了调试一个新增加的系统调用而不想重新编译内核...！！！
     到底怎么做到呢？首先，我们只需要修改掉system_call中的cmpl $(nr_syscalls), %eax语句中的nr_syscalls，我们首先从/proc/kallsym中取得system_call的地址，然后在其下面搜索cmpl $(nr_syscalls), %eax的机器码，搜到后将nr_syscalls修改；其次我们在/boot/Sysmap中取得sys_call_table的地址，然后在system_call的下面搜索这个地址的机器码，取得后我们将其修改为新的系统调用表的地址，需要指出的是，新的系统调用表的前nr_syscalls个字段必须和原始的系统调用表sys_call_table的相同。另外，如何获得sys_call_table的地址，这个技术值得商榷，其实有很多方法，本文使用最直接的方式，那就是从/boot/Sysmap中获取。
     有一个细节，那就是如何在system_call附近寻找匹配检测系统调用号范围的机器码呢？最简单的方式莫过于模拟，那就是写一个程序，调用cmpl $(nr_syscalls), %eax，其中nr_syscalls在2.6.8中为284，那么我们就写下面的代码：
int main(int argc, char **argv){ asm("cmpl $284, %eax /n/t"); return 0;}
编译后使用objdump得到了3d 1c 01 00 00 cmp    $0x11c,%eax这样的机器码/汇编码，于是我们可以断定，机器特征码为3d 1c 01 00 00。类似的，sys_call_table的地址也可以这样来求得，不过记住，没有必要，既然你有root权限了，还有必要这样吗？
     那么到底怎么做到的呢？请看模块dynamic_add_syscall：
#include <linux/init.h>#include <linux/kernel.h>#include <linux/module.h>#include <linux/sched.h>#include <linux/fs.h>#include <linux/proc_fs.h>unsigned long entry_addr, table_addr;unsigned long nowa_num, want_num;module_param(entry_addr, long, S_IRUSR);MODULE_PARM_DESC(entry_addr, "system call entry"); //参数保存system_call的地址module_param(table_addr, long, S_IRUSR);MODULE_PARM_DESC(table_addr, "syscall table"); //参数保存sys_call_table的地址module_param(nowa_num, long, S_IRUSR);MODULE_PARM_DESC(nowa_num, "system calls number"); //参数保存现有的系统调用数量module_param(want_num, long, S_IRUSR);MODULE_PARM_DESC(want_num, "system calls number"); //参数保存希望扩充到的系统调用数量unsigned int table_new[500] = {0x00}; //新的系统调用表unsigned int old_table; //保存原有的系统调用表，以备恢复unsigned int old_num; //保存原有系统调用数量，以备恢复unsigned int old_table_i; //保存系统调用表机器码命中的偏移地址unsigned int old_num_i; //保存系统调用数量机器码命中的偏移地址unsigned char *entry;unsigned char *table;unsigned int orig_table;unsigned char *nowa_num_addr;unsigned int appendi;//以下的procfs文件展示了一些地址信息，包括新的系统调用表地址以及当前到达哪个系统调用号了。static intread_syscall_info(char *page, char **start, off_t off, int count, int *eof, void *data){ int len; len = sprintf(page, "[table_addr:%p] [nowa number:%d] [please inc the value at address%p, thank you!]/n", table_new, appendi, &appendi); len -= off; *start = page + off; if (len > count) len = count; else *eof = 1; if (len < 0) len = 0; return len;}int __init rm_init(void){ unsigned int new_table = table_new; unsigned char *ntp = &new_table; unsigned char num_test_op[5] = {0}; //定义一个数组，包含了匹配的检测系统调用号范围的机器码：3d 1c 01 00 00。 int i, j = 0, k = 0; entry = entry_addr; table = table_addr; nowa_num_addr = &nowa_num; unsigned char *want_num_addr = &want_num; orig_table = table; unsigned char *otp = &orig_table; num_test_op[0] = 0x3d; num_test_op[1] = *(nowa_num_addr+0); //这两行初始化匹配机器码 num_test_op[2] = *(nowa_num_addr+1); num_test_op[3] = 0x00; num_test_op[4] = 0x00; for (i = 0; i < nowa_num; i ++) { unsigned int *p = table+i*4; table_new[i] = *p; } appendi = i; j = 0; for (i = 0; i < 256; i ++) { if ( !j && *(entry+i+0) == num_test_op[0] && *(entry+i+1) == num_test_op[1] && *(entry+i+2) == num_test_op[2] && *(entry+i+3) == num_test_op[3] && *(entry+i+4) == num_test_op[4] ) { old_num_i = i; j = 1; *(entry+i+1) = *(want_num_addr+0); //这两行修改系统调用号的范围 *(entry+i+2) = *(want_num_addr+1); } if ( !k && *(entry+i+0) == *(otp+0) && *(entry+i+1) == *(otp+1) && *(entry+i+2) == *(otp+2) && *(entry+i+3) == *(otp+3) ) { old_table_i = i; k = 1; *(entry+i+0) = *(ntp+0); //这四行修改系统调用表的地址 *(entry+i+1) = *(ntp+1); *(entry+i+2) = *(ntp+2); *(entry+i+3) = *(ntp+3); } } //在procfs中导出一些信息，供实现新系统调用的模块参考 create_proc_read_entry("new_syscall", S_IFREG, NULL, read_syscall_info, NULL); return 0;}void __exit rm_exit(void){ //针对init的修改进行还原 unsigned char *otp = &orig_table; *(entry+old_table_i+0) = *(otp+0); *(entry+old_table_i+1) = *(otp+1); *(entry+old_table_i+2) = *(otp+2); *(entry+old_table_i+3) = *(otp+3); *(entry+old_num_i+1) = *(nowa_num_addr+0); *(entry+old_num_i+2) = *(nowa_num_addr+1); remove_proc_entry("new_syscall", NULL);}EXPORT_SYMBOL(appendi); //导出现在已经到哪个系统调用号了module_init(rm_init);module_exit(rm_exit);MODULE_LICENSE("GPL");
编译上述模块，然后加载：
insmod dynamic_add_syscall.ko entry_addr=0xc01061d8 table_addr=0xc02dad1c nowa_num=0x11c want_num=0x21c
上述的地址信息都是从/boot/Sysmap以及/proc/kallsym以及内核源码中得到的。现在我们希望增加一个系统调用，该怎么办呢？
     很简单，再写一个模块newsyscall：
#include <linux/init.h>#include <linux/kernel.h>#include <linux/module.h>#include <linux/sched.h>asmlinkage long sys_force(int i){ printk("new sys----:%d/n", i); return 0;}int __init rm_init(void){ unsigned int *table_new = 0xf88f0d00; //从/proc/new_syscall中得到新系统调用表信息 unsigned char *append_ptr=0xf88f16f0; //从/proc/new_syscall中得到当前系统调用号信息 table_new[*(append_ptr)] = sys_force; //初始化新系统调用号 *(append_ptr) = *(append_ptr) + 1; //递增已经实现的系统调用号 return 0;}void __exit rm_exit(void){}module_init(rm_init);module_exit(rm_exit);MODULE_LICENSE("GPL");
编译此模块，然后加载，为了测试我们新增加的系统调用sys_force，特写一个用户态程序：
#include <stdio.h>#include <stdlib.h>#include <unistd.h>#include <errno.h>int main(int argc, char *argv[]){ ret = syscall(atoi(argv[1]), atoi(argv[2])); return 0;}
编译为test，当我们执行test 284 123之后，用dmesg看一下，会发现最后一行打印：new sys----:123，表明成功，我们成功增加了一个系统调用，可喜！
后记：
还是那句话，既然彻底理解了原理，那就没有什么是不可能的，我们不必为了实现一个系统调用而重新编译内核，完全没有必要，我们可以先使用上述的方式将新系统调用调试通过，然后最终再通过重新编译内核的方式添加进内核，OK？

虽然修改内存机器码并不是可取的方式，不是常规的方式，然而再次重申，我们这不是在进行攻击，而是为了让自己添加和调试新的系统调用更方便，只要达到目的，有什么不可以呢？难道仅仅因为LKML上以及教科书上建议就非要重新编译内核吗？适合自己的才是最好的，我们需要的是提高工作效率！
还是那些人，然而还是那些人！有那么重要吗？信口开河！人要生活，而不仅仅是生存！