c - Jprobe to 'do_execve' 在 Ubuntu 14 上不起作用，但在 Ubuntu 12 上工作

Question

我正在尝试使用 Jprobes 对 Linux 内核上的函数“do_execve()”执行 Hook ，但我遇到了某些系统的问题。我尝试使用我在 Ubuntu 12、64 位(内核版本 3.11)上在线找到的这段代码:

钩子(Hook).c:

/* Trace do_execv.  Taken basically from Documentation/kprobes.txt */
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/sched.h>
#include <linux/kprobes.h>
#include <linux/kallsyms.h>

/*
 * Pre-entry point for do_execve.
 */
static int my_do_execve(char * filename,
                        char __user *__user *argv,
                        char __user *__user *envp,
                        struct pt_regs * regs)
{
        printk("do_execve for %s from %s\n", filename, current->comm);
        /* Always end with a call to jprobe_return(). */
        jprobe_return();
        /*NOTREACHED*/
        return 0;
}

static struct jprobe my_jprobe = {
        .entry = (kprobe_opcode_t *) my_do_execve
};

int init_module(void)
{
        int ret;
        my_jprobe.kp.addr = 
                (kprobe_opcode_t *) kallsyms_lookup_name("do_execve");
        if (!my_jprobe.kp.addr) {
                printk("Couldn't find %s to plant jprobe\n", "do_execve");
                return -1;
        }

        if ((ret = register_jprobe(&my_jprobe)) <0) {
                printk("register_jprobe failed, returned %d\n", ret);
                return -1;
        }
        printk("Planted jprobe at %p, handler addr %p\n",
               my_jprobe.kp.addr, my_jprobe.entry);
        return 0;
}

void cleanup_module(void)
{
        unregister_jprobe(&my_jprobe);
        printk("jprobe unregistered\n");
}

MODULE_LICENSE("GPL");

生成文件:

# This is taken straight from Documentation/kprobes.txt

obj-m := trace-exec.o
KDIR := /lib/modules/$(shell uname -r)/build
PWD := $(shell pwd)
default:
    $(MAKE) -C $(KDIR) SUBDIRS=$(PWD) modules
clean:
    rm -f *.mod.c *.ko *.o

该模块按预期工作。它首先在系统上被正确编译，然后插入函数'insmod'(具有ROOT权限)。运行 dmesg 显示正确的输出:

Planted Jprobes at [ADDRESS HERE], handler addr [ADDRESS HERE]
do_execve for /bin/sh from wcstatusd [PRINTED FOR ANY EXECUTED PROCESS]

当我在 Ubuntu 14、64 位(内核版本 3.13)系统上尝试相同的代码时出现了问题。我在系统上重新编译它并像在以前的系统上一样插入它，但是这次它不起作用。我没有收到任何错误，并且打印了成功消息(“Planted jprobe at [ADDRESS WAS HERE]，handler addr [ADDRESS WAS HERE]”)，但是没有打印'do_execve'行。我扫描了谷歌但找不到解释或解决方案。有什么想法吗？

注意:我还尝试在 Ubuntu 14 上 Hook “do_fork()”并且成功了!这只是“do_execve()”的问题，我不知道是什么!

Answer 1

do_execve() 的定义在 exec.c 中 http://lxr.free-electrons.com/source/fs/exec.c?v=3.11#L1584

这是 do_execve() 的代码。在

之后添加一行

int do_execve(struct filename *filename,const char __user *const __user *__argv,const char __user *const __user *__envp)
{
       struct user_arg_ptr argv = { .ptr.native = __argv };
       struct user_arg_ptr envp = { .ptr.native = __envp };
       return do_execveat_common(AT_FDCWD, filename, argv, envp, 0);
}
EXPORT_SYMBOL(do_execve);  // Add this line.

这个文件将在 linux/fs/exec.c 中。在函数之后添加 EXPORT_SYMBOL() 行。然后执行 make、make install 和 reboot。它几乎就像 Hook 一样，因为我们必须再次构建和安装内核。假设您没有通过在运行时修改系统调用地址来拦截调用。