Chinaunix首页 | 论坛 | 博客

一个技术人员的草稿纸wangzhe.blog.chinaunix.net

首页 |  博文目录 |  关于我

zhe_wang

  • 博客访问: 913505
  • 博文数量: 119
  • 博客积分: 2493
  • 博客等级: 大尉
  • 技术积分: 2363
  • 用 户 组: 普通用户
  • 注册时间: 2012-06-03 14:00
文章分类

全部博文(119)

文章存档

2013年(19)

2012年(100)

我的朋友
最近访客
推荐博文
相关博文
系统调用日志收集系统 (2)

分类: LINUX

2012-07-17 20:39:25

接系统调用日志收集系统 (1)
---------------------------------------------------------------
3.8重新编译内核。
     如何编译内核就不再说了。
----------------------------------------------------------------
3.9插入模块。

  1. #include <linux/module.h>
  2. #include <linux/init.h>
  3. #include <linux/kernel.h>
  4. #include <linux/types.h>
  5. #include <asm/current.h>
  6. #include <linux/sched.h>
  7. #include <asm/uaccess.h>

  9. #define COMM_SIZE 16

  11. struct syscall_buf {
  12.     u32 serial;
  13.     u32 ts_sec;
  14.     u32 syscall;
  15.     u32 status;
  16.     pid_t pid;
  17.     uid_t uid;
  18.     u8 comm[COMM_SIZE];
  19. };

  21. //初始化一个队列buffer_wait
  22. DECLARE_WAIT_QUEUE_HEAD(buffer_wait);

  24. #define AUDIT_BUF_SIZE 100
  25. //长度为100的缓冲区。
  26. static struct syscall_buf audit_buf[AUDIT_BUF_SIZE];
  27. static int current_pos = 0;//缓冲区中的位置.
  28. static u32 serial = 0;//序列号

  30. void write_buf_audit(int syscall,int return_value)
  31. {
  32.     struct syscall_buf *ppb_tmp;
  33.     printk("write_buf_audit is execing!\n");
  34.     if (current_pos < AUDIT_BUF_SIZE) {
  35.         ppb_tmp = &audit_buf[current_pos];
  36.         ppb_tmp->serial = serial++;
  37.         ppb_tmp->ts_sec = 1;
  38.         ppb_tmp->syscall = syscall;
  39.         ppb_tmp->status = return_value;
  40.         ppb_tmp->pid = current->pid;
  41.         ppb_tmp->uid = current->tgid;
  42.         memcpy(ppb_tmp->comm,current->comm,COMM_SIZE);

  44.         if (++current_pos == AUDIT_BUF_SIZE *1/10) {
  45.          printk("in syscall_audit,it near full!\n");
  46.                 wake_up_interruptible(&buffer_wait);
  47.         }
  48.     }
  49.     return ;
  50. }

  52. int read_buf_audit(u8 type,u8 *us_buf,u16 us_buf_size,u8 reset)
  53. {
  54.     int ret = 0;
  55.     printk("read_buf_audit is execving!\n");
  56.     if (!type) {
  57.         if (clear_user((void *)us_buf, (unsigned long)us_buf_size)) {
  58.             printk("error:clear_user!\n");
  59.             return 0;
  60.         }
  61.         ret= wait_event_interruptible(buffer_wait,current_pos >= AUDIT_BUF_SIZE*1/10);
  62.         if (copy_to_user((void *)us_buf,audit_buf,(current_pos)*sizeof(struct syscall_buf))) {
  63.             printk("error:copy error!\n");
  64.             return 0;
  65.         }
  66.         ret = current_pos;
  67.         current_pos = 0;
  68.     }
  69.     return ret;
  70. }

  72. static int __init audit_init(void)
  73. {
  74.     my_audit = write_buf_audit;
  75.     my_sysaudit = read_buf_audit;
  76.     printk("starting syscall audit!\n");
  77.     return 0;
  78. }

  80. static void __exit audit_exit(void)
  81. {
  82.     my_audit = NULL;
  83.     my_sysaudit = NULL;
  84.     printk("exiting syscall audit!\n");
  85.     return ;
  86. }

  88. module_init(audit_init);
  89. module_exit(audit_exit);
  90. MODULE_LICENSE("GPL");
------------------------------------------------------------------------------------------------------
3.10,启动用户测试程序。
 
  1. #include <stdio.h>
  2. #include <stdlib.h>
  3. #include <errno.h>
  4. #include <signal.h>
  5. #include <unistd.h>
  6. #include <sys/syscall.h>
  7. #include <sys/types.h>

  9. typedef unsigned char u8;
  10. typedef unsigned int u32;

  12. #define COMM_SIZE 16

  14. struct syscall_buf {
  15.     u32 serial;
  16.     u32 ts_sec;
  17.     u32 syscall;
  18.     u32 status;
  19.     pid_t pid;
  20.     uid_t uid;
  21.     u8 comm[COMM_SIZE];
  22. };

  24. #define AUDIT_BUF_SIZE 100*sizeof(struct syscall_buf)

  26. int main(int argc, char *argv[])
  27. {
  28.     u8 col_buf[AUDIT_BUF_SIZE];
  29.     unsigned char reset = 1;
  30.     int num = 0;
  31.     struct syscall_buf *p = NULL;
  32.     u8 j = 0;
  33.     int i;

  35.     while (1) {
  36.         num = syscall(346, 0, col_buf, AUDIT_BUF_SIZE, reset);
  37.         printf("num is: %d\n", num);
  38.         p = (struct syscall_buf *)col_buf;
  39.         for (i = 0; i < num; i++) {
  40.             printf("serial: %d ", p[i].serial);
  41.             printf("syscall: %d ", p[i].syscall);
  42.             printf("ts_sec: %d ", ((struct syscall_buf *)col_buf)[i].ts_sec);
  43.             printf("status: %d ", p[i].status);
  44.             printf("pid: %d ", ((struct syscall_buf *)col_buf)[i].pid);
  45.             printf("uid: %d ", ((struct syscall_buf *)col_buf)[i].uid);
  46.             printf("comm: %s\n", ((struct syscall_buf *)col_buf)[i].comm);
  47.         }

  49.         putchar('\n');
  50.     }

  52.     return 0;
  53. }
--------------------------------------------------------------------------------------------------------
3.11,其中用户触发程序。(向内核不断地申请系统调用)

  1. #include <stdio.h>
  2. #include <unistd.h>
  3. #include <sys/sysinfo.h>

  5. int main(void)
  6. {
  7.     struct sysinfo info;
  8.     unsigned long value = 0;
  9.     int i = 0;

  11.     while (1) {
  12.     sysinfo(&info);
  13.     printf("sysinfo is execving!\n");
  14.     value = (unsigned long)getpid();
  15.     printf("pid = %lu\n",value);
  16.     sleep(1);
  17.     }
  18.     return 0;
  19. }
----------------------------------------------------------------------------------------------------------------
感想:
          经过几天的时间调试这个程序,最终还是调试通过了,收获还是蛮大的,这个程序中
既要内核编程,还有编写内核模块,还要编写用户态程序。内核态和用户态协调合作。当然
在其中也出现了不少问题,开始我们就没有考虑到sysenter,结果导致使用库函数,对内核
就没有触发,只能使用int 0x80,直接在用户态使用汇编或嵌入汇编才能对其触发。后来把
sysenter这条路“堵死”就好了。
------------------------------------------------------------------------------------------------------------------




阅读(2495) | 评论(0) | 转发(0) |
0

上一篇:系统调用日志收集系统 (1)

下一篇:内存管理实战之打印指定进程虚存区

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6