我在内核模式下钩子execve(将system_call_table条目__NR_execve更改为我的函数)。我想检查ELF的汇编代码。如果它有害,我将直接返回而不执行它。
我正在写一个linux模块。在Linux内核模式下,我想使用objdump来反汇编ELF文件。我想进入用户模式来执行objdump,然后回到内核模式。这可能吗?谢谢你。
也许您可以将项目分成两部分:内核模块和用户空间应用程序。所以你可以在内核中钩子execve(),然后告诉你的应用程序钩子被触发,然后在你的应用程序中进行反汇编和检查,然后将计算结果返回给内核模块,然后继续或中断execve()的执行。
如果你还想从内核运行objdump——检查call_usermodhelper()