Raspberry pi2 (시스템 콜 후킹)

Ⅱ.  라즈베리 확장

임베디드 개발 환경 구축

§시스템 콜 후킹

- 후킹이란 사전적 단어 그래도 ‘가로채다’의 뜻. 즉 시스템 콜 후킹이란 정상적인 시스템을 가로채서 원하는 것을 실행시키는 것을 의미

- 시스템 콜을 후킹하기 위해서는 시스템 콜 테이블의 시작 주소를 담은 커널 내 포인트 변수인 sys_call_table 주소를 알아야 됨

- $cat linux/System.map | grep sys_call_table

- 후킹 할 시스템 콜 검색

- $vi linux/arch/arm/include/uapi/asm/unistd.h

- 본 예제에서는 NR_open 후킹

- Makefile 생성

- Test c코드 작성

#include <linux/init.h> 

#include <linux/kernel.h> 

#include <linux/module.h> 

#include <linux/syscalls.h> 

#include <asm/unistd.h> 

 

unsigned long **sys_call_table=0x8000ed48;

asmlinkage long (*ref_sys_open)(const char *file, int flags, int mode);

asmlinkage long new_syscall(const char *file, int flags, int mode) 

{ 

   printk(KERN_INFO "new_syscall() was called=> %s\n", file);      

   return ref_sys_open(file, flags, mode);

} 

int __init m_init( void ) 

 

{ 

printk(KERN_INFO "sys_call_table: %pS\n", sys_call_table );

ref_sys_open = (void *)sys_call_table[__NR_open];

sys_call_table[__NR_open] = (unsigned long *)new_syscall; 

        return 0; 

} 

 

void __exit m_exit( void ) 

{ 

printk( KERN_INFO "Module exit\n" ); 

sys_call_table[__NR_open] = (unsigned long *)ref_sys_open;

} 

 

module_init( m_init ); 

module_exit( m_exit ); 

`

MODULE_LICENSE("GPL");

- make

- ls로 생성된 파일 확인

- Target에 전달

- $scp hook1.ko pi@192.168.0.9:/home/pi/test

- 라즈베리에서 확인

위의 화면을 보면 sys_open을 후킹하여 내가 원하는 것을 확인할 수 있다.

또한 rmmod를 통해 모듈을 내렸을 때 Module exit 메시지를 확인할 수 있다.

다음번에는 모듈을 insmod, rmmod하는 것이 아닌 직접 박아서 test할 계획.