我在内核模式下挂钩 execve(将 system_call_table 条目 __NR_execve 更改为我的函数)。我想检查 ELF 的汇编代码。如果它有害,我将直接返回而不执行它。
我正在编写一个 linux 模块。在Linux内核模式下,我想使用objdump来反汇编ELF文件。我想去用户模式执行objdump,然后回到内核模式。这可能吗?谢谢你。
问问题
1902 次
1 回答
2
也许您可以将您的项目分成两部分:内核模块和用户空间应用程序。因此,您可以execve()在内核中挂钩,然后告诉您的应用程序触发了挂钩,然后对您的应用程序进行反汇编和检查,将计算结果发送回内核模块,然后继续或中断execve()执行。
如果您仍想objdump从内核运行——请查看call_usermodhelper()。
另请参阅此相关问题。
于 2015-10-24T13:17:50.997 回答