Изменение // кража системных вызовов Linux с помощью kprode в ядре 6.8

Изменение // кража системных вызовов Linux с помощью kprode в ядре 6.8 ⇐ Linux

1 сообщение • Страница 1 из 1

Anonymous

Изменение // кража системных вызовов Linux с помощью kprode в ядре 6.8

Цитата

Сообщение Anonymous » 07 окт 2024, 09:42

В ядре Linux 6.8:
Я пытаюсь украсть системный вызов stat
Я пытаюсь изменить возвращаемые аргументы системных вызовов в Linux.
Но путь не изменился, а значения статистики плохие:
ls -l
[...]
-????????? ? ? ? ? ? Makefile
-????????? ? ? ? ? ? modules.order
-????????? ? ? ? ? ? Module.symvers
-????????? ? ? ? ? ? time_routines.c
[...]

Вот я код:
Я использую этот вопрос (не могу прочитать аргументы системного вызова из обработчика kprobe).
Но мне удалось разобраться с этим аргументом.< /p>
#include
#include
#include

MODULE_VERSION("v.0");
MODULE_LICENSE("GPL");
MODULE_AUTHOR("Flavien ASTRAUD ");
MODULE_DESCRIPTION("ex. pour interception d'un syscall");

static void __kprobes m_statx(struct kprobe *p, struct pt_regs *regs,
unsigned long flags)
{
long r = 0;
char path[128];
struct pt_regs *user_regs = (struct pt_regs *)regs->di;
struct statx statxbuf; // (struct statx *) regs->r8;
// char *path = (char *)user_regs->si;

r = strncpy_from_user(path, (char __user *)user_regs->si, 128);

path[0] = 'X';
path[1] = 'Y';

r = copy_from_user(&statxbuf, (struct statx *)user_regs->r8,
sizeof (struct statx));

pr_info("STATX_V2: %s size=%lld\n", path, statxbuf.stx_size);
pr_info("STATX: [%s]\n", path);

statxbuf.stx_size = 42;
r = copy_to_user((char __user *)user_regs->si, path, strlen(path)+1);

r = copy_to_user((struct statx *)user_regs->r8,
&statxbuf, sizeof(statxbuf));

return;
}

struct kprobe kp = {
.symbol_name = "__x64_sys_statx",
.post_handler = m_statx,
};

static int override_statx(void)
{
if (register_kprobe(&kp) < 0)
return 0;

pr_info("sym addr : [%pK]\n", kp.addr);

return 0;
}

static void pullback_syscall(void)
{
unregister_kprobe(&kp);

return;
}

static int __init kstatx_init(void)
{
pr_info("kstatx INIT\n=============\n");

override_statx();

return 0;
}

static void __exit kstatx_exit(void)
{
pr_info("kstatx END\n=============\n");

pullback_syscall();
}

module_init(kstatx_init);
module_exit(kstatx_exit);

Подробнее здесь: https://stackoverflow.com/questions/790 ... kernel-6-8

1728283375

Anonymous

В ядре Linux 6.8:
Я пытаюсь украсть системный вызов stat
Я пытаюсь изменить возвращаемые аргументы системных вызовов в Linux.
Но путь не изменился, а значения статистики плохие:
ls -l
[...]
-????????? ? ? ? ?            ? Makefile
-????????? ? ? ? ?            ? modules.order
-????????? ? ? ? ?            ? Module.symvers
-????????? ? ? ? ?            ? time_routines.c
[...]

Вот я код:
Я использую этот вопрос (не могу прочитать аргументы системного вызова из обработчика kprobe).
Но мне удалось разобраться с этим аргументом.< /p>
#include 
#include 
#include 

MODULE_VERSION("v.0");
MODULE_LICENSE("GPL");
MODULE_AUTHOR("Flavien  ASTRAUD ");
MODULE_DESCRIPTION("ex. pour interception d'un syscall");

static void __kprobes m_statx(struct kprobe *p,  struct pt_regs *regs,
unsigned long flags)
{
long r = 0;
char path[128];
struct pt_regs *user_regs = (struct pt_regs *)regs->di;
struct statx statxbuf; // (struct statx *) regs->r8;
//  char *path = (char *)user_regs->si;

r = strncpy_from_user(path, (char __user *)user_regs->si, 128);

path[0] = 'X';
path[1] = 'Y';

r = copy_from_user(&statxbuf, (struct statx *)user_regs->r8,
sizeof (struct statx));

pr_info("STATX_V2: %s size=%lld\n", path, statxbuf.stx_size);
pr_info("STATX: [%s]\n", path);

statxbuf.stx_size = 42;
r = copy_to_user((char __user *)user_regs->si, path, strlen(path)+1);

r = copy_to_user((struct statx *)user_regs->r8,
&statxbuf, sizeof(statxbuf));

return;
}

struct kprobe kp = {
.symbol_name = "__x64_sys_statx",
.post_handler = m_statx,
};

static int override_statx(void)
{
if (register_kprobe(&kp) < 0)
return 0;

pr_info("sym addr : [%pK]\n", kp.addr);

return 0;
}

static void pullback_syscall(void)
{
unregister_kprobe(&kp);

return;
}

static int __init kstatx_init(void)
{
pr_info("kstatx INIT\n=============\n");

override_statx();

return 0;
}

static void __exit kstatx_exit(void)
{
pr_info("kstatx END\n=============\n");

pullback_syscall();
}

module_init(kstatx_init);
module_exit(kstatx_exit);

 

Подробнее здесь: [url]https://stackoverflow.com/questions/79060852/modifying-stealing-linux-syscalls-using-kprode-in-kernel-6-8[/url]

Ответить Пред. тема След. тема

1 сообщение • Страница 1 из 1

Быстрый ответ

Заголовок:

Имя пользователя:

Изменение регистра текста:

Смайлики

Ещё смайлики…

К этому ответу прикреплено по крайней мере одно вложение.

Если вы не хотите добавлять вложения, оставьте поля пустыми. Можно прикреплять файлы, перетаскивая их в окно сообщения.

Максимально разрешённый размер вложения: 15 МБ.

Имя файла:

Комментарий к файлу:

Имя файла	Комментарий к файлу	Размер	Статус

Похожие темы

Ответы

Просмотры

Последнее сообщение

Как изменить таблицу системных вызовов Linux в версии ядра 6+?

Последнее сообщение Anonymous « 01 июл 2024, 01:45
Добавлено в форуме C++

Anonymous » 01 июл 2024, 01:45 » в форуме C++

Мне нужно указать внешней библиотеке выполнить системный вызов функции, определенной в моем приложении пользовательского пространства.

Я не могу использовать LD_PRELOAD, потому что я нужна статическая связь.

Я не могу использовать ftrace/модуль...

0 Ответы

15 Просмотры

Последнее сообщение Anonymous
01 июл 2024, 01:45
Как изменить таблицу системных вызовов Linux в версии ядра 6+?

Последнее сообщение Anonymous « 01 июл 2024, 01:45
Добавлено в форуме Linux

Anonymous » 01 июл 2024, 01:45 » в форуме Linux

Мне нужно указать внешней библиотеке выполнить системный вызов функции, определенной в моем приложении пользовательского пространства.

Я не могу использовать LD_PRELOAD, потому что я нужна статическая связь.

Я не могу использовать ftrace/модуль...

0 Ответы

22 Просмотры

Последнее сообщение Anonymous
01 июл 2024, 01:45
Power Bi Iframe кража

Последнее сообщение Anonymous « 25 фев 2025, 02:01
Добавлено в форуме Html

Anonymous » 25 фев 2025, 02:01 » в форуме Html

Я пытаюсь внедрить опубликованный отчет Power BI в моем веб -приложении, используя Iframe, как это:

my url

Но когда страница загружается, страница автофокусируется на мощность Biframe ..

Я попробовал много сценариев прокрутки окна обратно в...

0 Ответы

9 Просмотры

Последнее сообщение Anonymous
25 фев 2025, 02:01
Как возобновить основной поток/процесс при отслеживании системных вызовов и клонированного процесса с помощью ptrace()

Последнее сообщение Гость « 23 сен 2023, 22:16
Добавлено в форуме Android

Гость » 23 сен 2023, 22:16 » в форуме Android

Я разработал небольшую утилиту/инструмент с ptrace() для отслеживания и перехвата системных вызовов.

Вот следующий фрагмент кода (некоторые части намеренно удалены для краткости):

if(0 != ptrace(PTRACE_ATTACH, target_pid, nullptr, nullptr)){...

0 Ответы

51 Просмотры

Последнее сообщение Гость
23 сен 2023, 22:16
Использование doParallel для запуска нескольких системных вызовов из R в задании Slurm

Последнее сообщение Гость « 24 сен 2023, 06:29
Добавлено в форуме JAVA

Гость » 24 сен 2023, 06:29 » в форуме JAVA

Я использую сценарий R, который в основном объединяет команды командной строки для выполнения через system2(). Команды запускают какое-либо приложение Java.

Теперь я хочу одновременно запустить несколько процессов этого Java-приложения, чтобы...

0 Ответы

38 Просмотры

Последнее сообщение Гость
24 сен 2023, 06:29

Вернуться в «Linux»