시스템콜 후킹이 뭘까요?

뭔가 있어 보이긴 하지만 알고보면 별 내용도 아닙니다.


커널에는 시스템콜 리스트가 있고 소프트웨어 인터럽트가 걸리면 

인자로 넘어온 시스템콜 후킹을 인덱스에서 찾아 함수로 호출시켜 주는 것입니다.


시스템콜은 모두 일련 번호가 매겨져 있습니다.

include/asm/unistd.h 파일에 보면 번호 순서대로 선언이 쭉 되어 있습니다.


 28 #define __NR_restart_syscall        (__NR_SYSCALL_BASE+  0)

 29 #define __NR_exit           (__NR_SYSCALL_BASE+  1)

 30 #define __NR_fork           (__NR_SYSCALL_BASE+  2)

 31 #define __NR_read           (__NR_SYSCALL_BASE+  3)

 32 #define __NR_write          (__NR_SYSCALL_BASE+  4)

 33 #define __NR_open           (__NR_SYSCALL_BASE+  5)

 34 #define __NR_close          (__NR_SYSCALL_BASE+  6)


일부를 가져 왔습니다.   여기 보면 익숙한 함수들이 있습니다.
__NR_read 함수입니다.

사용자가 어플리케이션에서 read 함수를 호출하게 되면 커널레벨로 들어와서
이러저러한 처리를 하다가 system_call 을 호출하게 됩니다.
여기에 인자가 __NR_read 가 넘어오고 그곳에는 실행시킬 함수의 포인터가 위치합니다.
인터럽트의 실행과 비슷하죠?

그런데 시스템콜 함수가 모여 있는 인덱스를 건드릴수 있다는 것입니다.
그이름은 바로 sys_call_table 입니다.

전역변수인 이 테이블을 
extern void *sys_call_table[];

요렇게 선언하면 사용할수가 잇습니다.
그럼 내가 가로채기를 원하는 read 함수의 위치에는 무엇이 있을까요?

sys_call_table[__NR_read] 위치에는 원래 이 시스템콜을 처리하기 위한 함수가 들어 있습니다.
그럼 그 함수 대신 내가 만든 함수를 등록해 놓고 나서 그 함수를 실행하면 어떨까요?
그게 바로 시스템 콜 후킹입니다.

시스템 콜의 함수 형식은
asmlinkage int syscall_fn(char *, int, int);
와 같습니다.

여러분이 시스템콜 후킹 프로그램을 작성하시려고 할때 필요한 내용입니다.

extern void *sys_call_table[];                     :  시스템콜 테이블
asmlinkage int syscall_fn(char *, int, int);    :  시스템콜 함수 형식
include/asm/unistd.h                              :  시스템콜 번호 헤더

// pseudocode
init(void)
{
       origianl_call = sys_call_table[n];
       sys_call_table[n] = mycall;
}

exit(void)
{
       sys_call_table[n] = original_call;
}

mycall(,,)
{
      mycode ....
      original_cal(,,);
}

위에서 보시는 pseudocode 형태가 기본적인 형태입니다.
밤이 늦었으니 취침을 하도록 하겠습니다. ~~





이 게시물을...