Linux arm syscall hook

模拟hook openat 系统调用，hook能够成功，但是调用原函数返回失败。主要错误码 -14/* Bad address /、-22/ Invalid argument */，有没有大神帮忙看看。

日志如下：

系统环境

root@jc-kvmvirtualmachine:~# cat /etc/kylin-build
Kylin-Desktop V10-SP1
Build 20220513
buildid: 31950

root@jc-kvmvirtualmachine:src# uname -a
Linux jc-kvmvirtualmachine 5.4.18-53-generic #42-KYLINOS SMP Fri Mar 4 06:09:02 UTC 2022 aarch64 aarch64 aarch64 GNU/Linux

系统架构

root@jc-kvmvirtualmachine:~# lscpu
架构：                           aarch64
CPU 运行模式：                   64-bit
字节序：                         Little Endian
CPU:                             4
在线 CPU 列表：                  0-3
每个核的线程数：                 1
每个座的核数：                   4
座：                             1
NUMA 节点：                      1
厂商 ID：                        0x70
型号：                           3
型号名称：                       Phytium,FT-2000/4
步进：                           0x1
CPU 最大 MHz：                   2100.0000
CPU 最小 MHz：                   2100.0000
BogoMIPS：                       100.00
NUMA 节点0 CPU：                 0-3
Vulnerability Itlb multihit:     Not affected
Vulnerability L1tf:              Not affected
Vulnerability Mds:               Not affected
Vulnerability Meltdown:          Vulnerable
Vulnerability Spec store bypass: Vulnerable
Vulnerability Spectre v1:        Mitigation; __user pointer sanitization
Vulnerability Spectre v2:        Vulnerable
Vulnerability Tsx async abort:   Not affected
标记：                           fp asimd evtstrm aes pmull sha1 sha2 crc32 cpuid

测试代码


#include <linux/init.h>
#include <linux/vmalloc.h>
#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/kallsyms.h>
#include <linux/uaccess.h>
#include <asm/unistd.h>
#include <asm/ptrace.h>

MODULE_LICENSE("GPL");
MODULE_AUTHOR("ccc");
MODULE_VERSION("1.0");

void (*update_mapping_prot)(phys_addr_t phys, unsigned long virt, phys_addr_t size, pgprot_t prot);
static unsigned long start_rodata = 0, end_rodata = 0;
void* sys_call_table_ptr[__NR_syscalls] = {0};
// 保存原始的openat函数指针
asmlinkage long (*orig_openat_func)(const struct pt_regs *) = NULL;


asmlinkage long my_stub_openat(const struct pt_regs *regs)
{
    long fd = -1;

    printk(KERN_INFO "=== HOOK OPENAT DEBUG START ===\n");
  
    // 检查原始函数指针是否有效
    if(!orig_openat_func){
        printk(KERN_ERR "hook: orig_openat_func is NULL!\n");
        return -ENOSYS;
    }
    
    printk(KERN_INFO "hook openat: calling original func %lx\n", (unsigned long)orig_openat_func);
    fd = orig_openat_func(regs);
    printk(KERN_INFO "hook openat: original func returned fd=%ld\n", fd);
    printk(KERN_INFO "=== HOOK OPENAT DEBUG END ===\n");

    return fd;
}

void free_new_sys_call_table(void *table) {
    if(table){
        vfree(table);
    }
}

static void init_hook_func(int NR_call, unsigned long func) {
    void* orig_table = (void*)kallsyms_lookup_name("sys_call_table");
    if(!orig_table) {
        printk(KERN_ERR "Failed to find sys_call_table symbol.\n");
        return;
    }
    if(NR_call < 0 || NR_call >= __NR_syscalls) {
        printk(KERN_ERR "Invalid syscall number: %d\n", NR_call);
        return;
    }

    *((unsigned long *) (orig_table + (NR_call * sizeof(void *)))) = func;
    printk(KERN_INFO "Hooked syscall number %d with function %lx\n", NR_call, func);
}

static int init_global_value(void){
    void* orig_table = (void*)kallsyms_lookup_name("sys_call_table");
    update_mapping_prot = (void *)kallsyms_lookup_name("update_mapping_prot");
    start_rodata = (unsigned long)kallsyms_lookup_name("__start_rodata");
    end_rodata= (unsigned long)kallsyms_lookup_name("__end_rodata");

    if(!update_mapping_prot || !start_rodata || !end_rodata || !orig_table) {
        printk(KERN_ERR "Failed to find required symbols.\n");
        return -1;
    }
    
    memcpy(sys_call_table_ptr, orig_table, sizeof(void *) * __NR_syscalls);

    orig_openat_func = (asmlinkage long (*)(const struct pt_regs *))sys_call_table_ptr[__NR_openat];

    printk(KERN_INFO "myhook found symbols: update_mapping_prot: %lx, start_rodata: %lx, end_rodata: %lx, orig_table: %lx\n",
           (unsigned long)update_mapping_prot, start_rodata, end_rodata, (unsigned long)orig_table);
    printk(KERN_INFO "myhook saved orig_openat_func: %lx\n", (unsigned long)orig_openat_func);
    return 0;
}

static void disable_write_protection(void)
{
    update_mapping_prot(__pa_symbol(start_rodata), (unsigned long)start_rodata, (end_rodata - start_rodata), PAGE_KERNEL);
    return ;
}
 
static void enable_write_protection(void)
{
    update_mapping_prot(__pa_symbol(start_rodata), (unsigned long)start_rodata, (end_rodata - start_rodata), PAGE_KERNEL_RO);
    return ;
}


static int __init patch_init(void) {
    if(init_global_value() != 0){
        printk(KERN_ERR "Failed to initialize global values.\n");
        return -ENOSPC;
    }
    preempt_disable();
    disable_write_protection();

    init_hook_func(__NR_openat, (unsigned long)my_stub_openat);

    enable_write_protection();
    preempt_enable();
    printk(KERN_INFO "Module loaded successfully.\n");
    return 0;
}

static void __exit patch_cleanup(void)
{
    preempt_disable();
    disable_write_protection();

    // 恢复原始的openat系统调用
    if(orig_openat_func) {
        init_hook_func(__NR_openat, (unsigned long)orig_openat_func);
        printk(KERN_INFO "Restored original openat syscall: %lx\n", (unsigned long)orig_openat_func);
    }

    enable_write_protection();
    preempt_enable();

    
    printk(KERN_INFO "Module unloaded successfully.\n");
    return ;
}

module_init(patch_init);
module_exit(patch_cleanup);

写回答
好问题 0 提建议
关注问题
分享
邀请回答
编辑收藏删除
收藏举报

6条回答默认最新

JnewChen 2025-07-14 14:25

关注


#include <linux/init.h>
#include <linux/vmalloc.h>
#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/kallsyms.h>
#include <linux/uaccess.h>
#include <asm/unistd.h>
#include <asm/ptrace.h>

MODULE_LICENSE("GPL");
MODULE_AUTHOR("ccc");
MODULE_VERSION("1.0");

void (*update_mapping_prot)(phys_addr_t phys, unsigned long virt, phys_addr_t size, pgprot_t prot);
static unsigned long start_rodata = 0, end_rodata = 0;
void* sys_call_table_ptr[__NR_syscalls] = {0};
// 保存原始的openat函数指针
asmlinkage long (*orig_openat_func)(int dirfd, const char *pathname, int flags, mode_t mode) = NULL;

//-----更改点：显式定义HOOK函数的参数列表------
asmlinkage long my_stub_openat(int dfd, const char *pathname, int flags, mode_t mode)
{
    long fd = -EFAULT;

    // 如果后缀是".777"，则拒绝打开
    if (pathname && strlen(pathname) > 4 && strcmp(pathname + strlen(pathname) - 4, ".777") == 0) {
        printk(KERN_INFO "myhook openat: blocked opening .777 file: %s\n", pathname);
        return -EACCES; // 返回权限错误
    }

    fd = orig_openat_func(dfd, pathname, flags, mode);
    //printk(KERN_INFO "myhook openat returned fd=%ld\n", fd);

    return fd;
}

void free_new_sys_call_table(void *table) {
    if(table){
        vfree(table);
    }
}

static void init_hook_func(int NR_call, unsigned long func) {
    void* orig_table = (void*)kallsyms_lookup_name("sys_call_table");
    if(!orig_table) {
        printk(KERN_ERR "Failed to find sys_call_table symbol.\n");
        return;
    }
    if(NR_call < 0 || NR_call >= __NR_syscalls) {
        printk(KERN_ERR "Invalid syscall number: %d\n", NR_call);
        return;
    }

    *((unsigned long *) (orig_table + (NR_call * sizeof(void *)))) = func;
    printk(KERN_INFO "Hooked syscall number %d with function %lx\n", NR_call, func);
}

static int init_global_value(void){
    void* orig_table = (void*)kallsyms_lookup_name("sys_call_table");
    update_mapping_prot = (void *)kallsyms_lookup_name("update_mapping_prot");
    start_rodata = (unsigned long)kallsyms_lookup_name("__start_rodata");
    end_rodata= (unsigned long)kallsyms_lookup_name("__end_rodata");

    if(!update_mapping_prot || !start_rodata || !end_rodata || !orig_table) {
        printk(KERN_ERR "Failed to find required symbols.\n");
        return -1;
    }
    
    memcpy(sys_call_table_ptr, orig_table, sizeof(void *) * __NR_syscalls);

    orig_openat_func = (asmlinkage long (*)(int dirfd, const char *pathname, int flags, mode_t mode))sys_call_table_ptr[__NR_openat];

    printk(KERN_INFO "myhook found symbols: update_mapping_prot: %lx, start_rodata: %lx, end_rodata: %lx, orig_table: %lx\n",
           (unsigned long)update_mapping_prot, start_rodata, end_rodata, (unsigned long)orig_table);
    printk(KERN_INFO "myhook saved orig_openat_func: %lx\n", (unsigned long)orig_openat_func);
    return 0;
}

static void disable_write_protection(void)
{
    update_mapping_prot(__pa_symbol(start_rodata), (unsigned long)start_rodata, (end_rodata - start_rodata), PAGE_KERNEL);
    return ;
}
 
static void enable_write_protection(void)
{
    update_mapping_prot(__pa_symbol(start_rodata), (unsigned long)start_rodata, (end_rodata - start_rodata), PAGE_KERNEL_RO);
    return ;
}


static int __init patch_init(void) {
    if(init_global_value() != 0){
        printk(KERN_ERR "Failed to initialize global values.\n");
        return -ENOSPC;
    }
    preempt_disable();
    disable_write_protection();

    init_hook_func(__NR_openat, (unsigned long)my_stub_openat);

    enable_write_protection();
    preempt_enable();
    printk(KERN_INFO "Module loaded successfully.\n");
    return 0;
}

static void __exit patch_cleanup(void)
{
    preempt_disable();
    disable_write_protection();

    // 恢复原始的openat系统调用
    if(orig_openat_func) {
        init_hook_func(__NR_openat, (unsigned long)orig_openat_func);
        printk(KERN_INFO "Restored original openat syscall: %lx\n", (unsigned long)orig_openat_func);
    }

    enable_write_protection();
    preempt_enable();

    printk(KERN_INFO "Module unloaded successfully.\n");
    return ;
}

module_init(patch_init);
module_exit(patch_cleanup);

本回答被题主选为最佳回答 , 对您是否有帮助呢?

查看更多回答(5条)

报告相同问题？

关注问题

5.1_ARM64_Linux系统调用
2025-09-22 11:37

三问Linux社区的博客本文通过分析ARM64架构下Linux系统调用的实现机制，从用户层printf调用到内核处理流程进行了详细阐述。文章首先以hello world程序为例，使用strace和gdb工具追踪系统调用过程，展示了用户层如何通过SVC指令触发系统...
Linux ARM64平台上Hook系统调用（以openat为例）
2021-03-28 22:14

yg@hunter的博客我之前已经有几篇关于linux下hook系统调用的文章1,2,3，都是基于x86_64平台的，本文将会先介绍下如何在arm64平台下hook系统调用，最后会手撸的简单的例子。本文实验环境是在银河麒麟服务器V10系统上： [root@...
linux系统调用的来龙去脉(下)
2022-05-14 12:23

liyinuo2017的博客 1.LINUX系统调用实现 linux系统调用分为3个部分：调用请求，响应请求，功能实现。 linux系统调用流程图如下：系统调用提供给应用程序的接口为调用请求，调用请求中包含触发软中断的指令，应用程序使用调用请求后...
Linux内核之struct pt_regs结构
2025-04-24 17:59

Steps-of-time的博客前沿项目开发最近进行系统hook功能实现相关业务，主要在centos7和8系列环境开发下关功能。调研了相关知识点，发现在系统7和8上内核版本差别比较大，7-3.10.x系列版本，8-4.18.x系列版本。依据两个系统的内核情况根...
5.4.6 场景5之Linux线程调用Xenomai系统调用bind
2025-01-22 14:17

三问Linux社区的博客参考《5.2.2 用户层：用latency演示Xenomai系统调用》，latency 是 ...通过条件断点，在ipipe_handle_syscall第1200行处，Linux进程运行在Root domain，调用Xenomai系统调用bind，完成对应的cobalt process的创建。
eBPF：Linux内核sample/bpf编译环境准备
2024-01-19 18:04

也许1024的博客查看当前linux内核版本是否开启该特性 zcat /proc/config.gz | grep BTF 如果未开启该特性更新内核版本 WSL内核更新打开“Windows PowerShell”或“命令提示符”（管理员权限）。运行以下命令，检查当前WSL版本：...
linux kernel pwn 基础知识
2023-05-22 21:44

_sky123_的博客驱动程序设备驱动文件系统驱动内核拓展模块LKMs 的文件格式和用户态的可执行程序相同，Linux 下为 ELF ，Windows 下为 exe/dll ，mac 下为 MACH-O ，因此我们可以使用 IDA 等工具来分析内核模块。模块可以被单独编译...
linux pwn 基础知识
2023-08-11 17:12

_sky123_的博客更换 ubuntu 镜像源，建议先在系统设置 → Software & Updates → Download from → 选择国内服务器例如阿里云（貌似不这样后续换源会出错），然后再 sudo gedit /etc/apt/sources.list将镜像源中不高于当前系统...
5.4.5 场景4之运行在root域Xenomai线程调用Linux系统调用read
2025-01-21 09:42

三问Linux社区的博客参考《5.2.2 用户层：用latency演示Xenomai系统调用》，latency 是 Xenomai/Cobalt 实时内核提供...通过条件断点，在ipipe_handle_syscall第1200行处，抓到Xenomai实时线程运行在root域时，对Linux系统调用read的调用。
使用eBPF LSM热修复Linux内核漏洞
2022-08-23 22:11

Chinese_big_boy的博客跟踪准确的钩子不是一件容易的事，需要有丰富的经验，以及丰富的内核代码经验。这些一个策略代码是用C语言编写的，所以我们可以根据因地制宜...Linux不一样，提供了一组看似独立的工具，每个进程都允许隔离特定的资源。
Linux系统malloc全景分析
2025-11-20 10:13

zhilin_tang的博客本文深入剖析了Linux系统中malloc的内存管理机制，从用户空间到内核实现的全景视角。在用户空间层面，glibc的malloc通过fastbins、smallbins和largebins三级分配策略实现高效内存管理；系统调用层详细解析了brk()和...
Linux内核--网络协议栈(二)整体介绍
2024-01-16 22:24

文艺小少年的博客 linux的网络部分由网卡的驱动程序和kernel的网络协议栈部分组成，它们相互交互，完成数据的接收和发送。 Linux操作系统的最大功能之一是其网络栈。它最初是BSD协议栈的衍生物，并且组织良好，具有一组干净的接口。...
模块三：现代C++工程实践（4篇）第三篇《C++与系统编程：Linux内核模块开发入门》
2025-07-10 20:51

AI迅剑的博客 } 动态系统调用劫持： static void enable_syscall_hook(void) { write_cr0(read_cr0() & (~0x10000)); // 禁用WP位 syscall_table[__NR_read] = our_read; write_cr0(read_cr0() | 0x10000); // 重新启用WP位 } ...
Linux下内存检测利器Valgrind之Memcheck工具详解
2023-10-16 10:08

dvlinker的博客本文介绍Linux下的一款重量级调式与分析工具包Valgrind，并针对其中最常用的工具Memcheck的使用进行较详细的介绍。
Linux: eBPF 实现简析
2023-04-02 21:06

JiMoKuangXiangQu的博客 linux，eBPF，调试追踪工具
mobian与主线linux在红米5plus（vince）上的移植 (1) 编译lk2nd以及主线内核的调试
2023-03-12 17:20

籍进9y的博客 # Linux/arm64 6.1.0 Kernel Configuration # CONFIG_CC_VERSION_TEXT="aarch64-linux-gnu-gcc (Ubuntu 11.3.0-1ubuntu1~22.04) 11.3.0" CONFIG_CC_IS_GCC=y CONFIG_GCC_VERSION=110300 CONFIG_CLANG_VERSION=0 ...
5.3.3 ipipe_flags之TIP_NOTIFY
2025-01-02 11:24

三问Linux社区的博客 ipipe_flags之TIP_NOTIFY （1）Xenomai线程必有TIP_NOTIFY标记（2）TIP_NOTIFY分3类syscall/trap/kevent （3）TIP_NOTIFY需要hook钩子函数来响应
Linux内核网络的连接跟踪conntrack简单分析
2025-09-07 22:44

塵觴葉的博客当连接建立后，如何避免后续数据量庞大、数量众多的网络包快速检测通过（从而降低Linux内核网络的负载），跟踪连接是十分必要的。连接跟踪超时的判断，目前的调试观察到有两种方式，分别是内核工作线徎周期性检测，...
Linux电源管理（3）-Generic PM之reboot过程【转】
2017-03-15 16:51

嵌入式小庄老师的博客 1. 前言在使用计算机的过程中，关机...同样，这两个操作在Linux中也存在，称作shutdown和restart。这就是本文要描述的对象。在Linux Kernel中，主流的shutdown和restart都是通过“reboot”系统调用(具体可参考kern...
没有解决我的问题, 去提问

问题事件

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
系统已结题 7月22日
关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
已采纳回答 7月14日
关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
创建了问题 7月11日

Linux arm syscall hook

6条回答 默认 最新

问题事件

6条回答默认最新