* - tracer function to probe instrumented function's entry, * - ftrace_graph_caller to set up an exit hook*/ENTRY(ftrace_caller) mcount_enter mcount_get_pc0 x0//function's pcmcount_get_lr x1//function's lr.globalftrace_call ftrace_call://tracer(pc, lr);nop//This will be replaced...
FTraceHook.h: 代码语言:javascript 代码运行次数:0 运行 AI代码解释 #ifndefLIB_FTRACE_HOOK#defineLIB_FTRACE_HOOK#include<linux/version.h>#include<linux/ftrace.h>#include<linux/kprobes.h>#include<linux/kallsyms.h>#include<asm/unwind.h>//关于系统调用符号解析的版本差异处理#ifLINUX_VERSION_CODE>=KER...
pr_debug("register_ftrace_function() failed: %d\n", err);/*Don’t forget to turn off ftrace in case of an error.*/ftrace_set_filter_ip(&hook->ops, hook->address,1,0);returnerr; }return0; } 要关闭钩子,我们只需反向重复相同的操作: voidfh_remove_hook (structftrace_hook *hook) {...
但如果我们通过修改RIP跳转到外套子程,那就意味着所有的ftrace hook都会跳转到同一个外套子程,而此时外套子程所接收到的参数实际上是由系统调用函数的直接调用方(如do_syscall_64)提供的,我们很难在过滤器函数中修改或传递更多的参数给外套子程——结果导致在同时存在多个hook目标的情况下,外套子程内部难以确定应该...
intfh_install_hook(structftrace_hook*hook){/* ... */err=ftrace_set_filter_ip(&hook->ops,hook->address,0,0);if(err){pr_debug("ftrace_set_filter_ip() failed: %d\n",err);returnerr;}err=register_ftrace_function(&hook->ops);if(err){pr_debug("register_ftrace_function() failed: %d...
首先,被hook的内核函数入口指令call _mcount()被替换成ftrace_caller()/ftrace_regs_caller(),这里为第一级hook点。 2. ftrace_caller()/ftrace_regs_caller()函数内的call ftrace_stub被替换成ftrace_ops_no_ops()/ftrace_ops_list_ops(),这里是第二级hook点。
接下来,需要编写hook函数。在Linux内核中,可以使用两种方式来编写hook函数:kprobes和uprobes。 kprobes是一种在内核代码中插入probe点(即断点)并执行用户定义回调函数的技术。通过kprobes,可以实现对任意内核代码段进行跟踪。 uprobes是一种在用户空间程序中插入probe点并执行用户定义回调函数的技术。通过uprobes,可以实现...
目标:hook几个Linux内核函数调用,如打开文件和启动进程,并利用它来启用系统活动监控并抢先阻止可疑进程。 一、方案比较 1. 使用Linux安全API 方法:内核代码的关键点包含安全函数调用,这些调用可能触发安全模块安装的回调,该模块可以分析特定操作的上下文,并决定是允许还是禁止它。
stack tracer是基于 funciton tracer实现的。stack tracer 没有使用 Ftrace ring buffer,它用 funciton tracer hook每一个函数调用。当栈大小超过上次记录的最大值时,它记录下 stack trace,同时更新最大值。下图显示了当前时刻栈的最大值。 上图显示,栈最大深度为 4928,总共 52个栈帧,以及每个函数使用的栈大小。
本文将会介绍内核是如何修改代码段以控制函数去执行指定的hook函数。 运行时修改代码段 系统运行时修改代码段是一个很危险的操作,因为被修改的5 Byte有可能跨两个cache line,如果其它Core正在执行,有可能取到被修改了一半的结果,导致系统crash。 ftrace修改代码段是在ftrace_replace_code中完成的,这个函数里有三个大...