使用Linux Kernel Module的一般目的就是擴(kuò)展系統(tǒng)的功能，或者給某些特殊的設(shè)備提供驅(qū)動(dòng)等等。其實(shí)利用Linux內(nèi)核模塊我們還可以做一些比較“黑客”的事情，例如用來(lái)攔截系統(tǒng)調(diào)用，然后自己處理。嘿嘿，有意思的說(shuō)。

下面給出一個(gè)簡(jiǎn)單的例子，說(shuō)明了其基本的工作過(guò)程。

#define MODULE
#define __KERNEL__
#include <linux/module.h>
#include <linux/kernel.h>
#include <asm/unistd.h>
#include <sys/syscall.h>
#include <linux/types.h>
#include <linux/dirent.h>
#include <linux/string.h>
#include <linux/fs.h>
#include <linux/malloc.h>
extern void* sys_call_table[]; /*sys_call_table is exported, so we can access it*/
int (*orig_mkdir)(const char *path); /*the original systemcall*/
int hacked_mkdir(const char *path)
{
return 0; /*everything is ok, but he new systemcall
does nothing*/
}
int init_module(void) /*module setup*/
{
orig_mkdir=sys_call_table[SYS_mkdir];
sys_call_table[SYS_mkdir]=hacked_mkdir;
return 0;
}
void cleanup_module(void) /*module shutdown*/
{
sys_call_table[SYS_mkdir]=orig_mkdir; /*set mkdir syscall to the origal
one*/
}

大家看到前面的代碼了，非常簡(jiǎn)單，我們就是替換了內(nèi)核的系統(tǒng)調(diào)用數(shù)組中我們關(guān)心的指針的值，系統(tǒng)調(diào)用在內(nèi)核中實(shí)際就是一個(gè)數(shù)組列表指針對(duì)應(yīng)的函數(shù)列表。我們通過(guò)替換我們想“黑”的函數(shù)的指針，就可以達(dá)到我們特定的目的。這個(gè)例子中我們替換了“mkdir”這個(gè)函數(shù)。這樣，用戶(hù)的應(yīng)用程序如果調(diào)用mkdir后，當(dāng)內(nèi)核響應(yīng)的時(shí)候，實(shí)際上是調(diào)用我們“黑”了的函數(shù)，而我們實(shí)現(xiàn)的函數(shù)里面是什么都沒(méi)有干，所以這里會(huì)導(dǎo)致用戶(hù)運(yùn)行“mkdir”得不到結(jié)果。這個(gè)例子很簡(jiǎn)單，但是我們可以看出，如果我們想截獲一個(gè)系統(tǒng)調(diào)用，那么我們只需要做以下的事情：

1．查找出感興趣的系統(tǒng)調(diào)用在系統(tǒng)內(nèi)核數(shù)組中的入口位置?？梢詤⒖磇nclude/sys/ syscall.h文件。
2．將內(nèi)核中原來(lái)的調(diào)用函數(shù)對(duì)應(yīng)的指針sys_call_table[X]保留下來(lái)。
3．將我們新的偽造的系統(tǒng)函數(shù)指針給sys_call_table[X]。