我已经按照在sys_call_table
中找到的修补/proc/kallsyms
方法表的标准过程,在x86_64 Linux系统上尝试了Linux syscall挂钩。
但是在我的蹦床中,专门用于解析诸如openat,makedir之类的文件路径的系统调用,由于printk(path)
,我似乎正在检索非人类可读的文件路径,其中path是传递给系统调用的确切形式参数,被拦截。
有人可以解释为什么我无法从系统调用中截取人类可读的路径名吗?例如/usr/home/file.txt
。
问题绕道:
asmlinkage int sys_access_trampoline(const char __user *path, int mode)
{
char buffer[STR_MAX];
strncpy_from_user(buffer, path, strnlen_user(path, PATH_MAX+1));
printk(buffer); // prints \xe1\xaa\xff\xff\ etc...
STUB_ORIGIN();
return sys_access(path, mode);
}
正如Tsyvarev所指,对于较新的内核版本(> 4.17,传递syscall参数的方式已更改,并且要求截取蹦床具有以下签名:
asmlinkage __type__ sys_foobar(const struct pt_regs * regs).
然后通过相应的寄存器(即(x86_64))访问单个参数
arg1 arg2 arg3 arg4 arg5 arg6
regs-> (di) (si) (dx) (r10) (r8) (r9)
因此,要获取访问系统调用的路径字符串,请使用regs->di
。
asmlinkage int sys_access_trampoline(const struct pt_regs * regs)
{
char buffer[STR_MAX];
strncpy_from_user(buffer, regs->di, strnlen_user(path, PATH_MAX+1));
printk(buffer);
STUB_ORIGIN();
return sys_access(path, mode);
}
我现在收到正确的ASCII路径名。
谢谢大家的帮助!