Snowdream

posts - 403, comments - 310, trackbacks - 0, articles - 7

Hacking the Kernel - 修改系統調用表

Posted on 2008-02-19 14:55 ZelluX 閱讀(760) 評論(0) 編輯收藏所屬分類: Linux 、System

昨天硬是沒找到正確的sys_call_table的地址，原來我之前在虛擬機上裝的ArchLinux是64位的。。
今天在真機上成功地修改了系統調用表。
測試環境：ArchLinux 2.6.24

1. 2.4.20以后的內核出于安全考慮，沒有導出sys_call_table符號，所以要先通過System.map找到sys_call_table的地址
$ cat /boot/System.map26 | grep sys_call_table
c0375680 R sys_call_table
另外也可以用nm工具獲得vmlinux中的所有符號
$ nm /usr/src/linux-2.6.24-ARCH/vmlinux | grep sys_call_table
結果一樣

2. 以添加一個把uid改成root(0)為例，寫一個內核模塊：
addcall.c

對應的Makefile：

3. 使用insmod addcall.ko載入模塊后，用dmesg可以看到the call has been added.
4. 測試程序
test.c

使用gcc -o test test.c編譯

5. 運行./test，即可看到類似的成功信息：
Previous uid = 1002
Current uid = 0

6. 卸載模塊rmmod addcall，此時再次運行./test就會失敗

新用戶注冊刷新評論列表


只有注冊用戶登錄后才能發表評論。




網站導航: 博客園 IT新聞 Chat2DB C++博客博問管理
相關文章: PieTTY中按Ctrl+S導致掛起的問題解決 Ubuntu 8.10 瀏覽網頁不穩定的解決方法上來bs下ctags 5.4 vim中.cpp的配置和c.vim中指定的一樣讀核筆記(6) - 虛擬存儲 Patching CVE-2008-0600, Local Root Exploit [zz]LKM Rootkits on Linux x86 v2.6 信號量使用例程讀核筆記(5) - 共享內存 Hacking the Kernel - 修改系統調用表

Snowdream

Hacking the Kernel - 修改系統調用表

日歷

常用鏈接

留言簿(21)

隨筆分類(390)

隨筆檔案(389)

文章檔案(7)

相冊

15ers

友情鏈接

收藏夾

搜索

積分與排名

最新隨筆

最新評論

閱讀排行榜

評論排行榜