参考的资料：

hello world   https://www.cnblogs.com/bitor/p/9608725.html

linux内核监控模块——系统调用的截获  https://www.cnblogs.com/lxw315/p/4773566.html

实现：

实验目的：

内核模块的编写：完成一个Linux/Windows内核/驱动模块的编写，

能够实现对文件访问的监控、或者对键盘设备、USB设备、网络设备、

蓝牙设备等的监控。

实验内容：

通过linux内核模块编程，写一个模块使得进程访问文件时会把进程的进程名，进程id，文件名打印到系统日志，然后通过dmesg查看相关信息。

实验步骤：

1.思路

“截获”的过程是：修改系统调用表中调用函数的地址，将其执行我们自己实现的函数，再在我们自己的函数中完成我们想做的事情后，在返回到原来的系统调用执行流程中。

实现文件访问监控的思路为：截获sys_open系统调用。当进程打开文件时会调用系统中断sys_open，通过修改中断向量表使得先执行我们编写的函数my_sys_open，功能为打印当前访问的进程名，进程号，文件名，然后再执行sys_open。这样就相当于监控到了信息，信息通过printk打印到系统日志，通过dmesg查看即可。

2.代码实现

函数asmlinkage long my_sys_open(char * filename, int flags, int mode)，就是自己实现的调用函数，这里的形参是参考系统原有的open调用函数的原型。

在my_sys_open()中，打印了当前是哪个进程在访问（进程名和进程号的信息），访问的是哪个文件（文件的绝对路径），打印完后跳转到原来的系统调用函数。

在模块初始化的过程中，执行start_hook()函数。在start_hook()函数中，先获得系统调用表的地址，将系统调用表中的原有open函数的地址保存下来，再将my_sys_open()函数的地址赋到系统调用表中。

修改系统调用表时，由于内核中的很多东西，比如系统调用表sys_call_table是只读的，需要修改一下权限才能修改。由于控制寄存器CR0的第16位若置位1，则表示禁止系统进程写只有只读权限的文件，所以在修改系统调用表sys_call_table之前先将CR0的第16位清零，在修改完后再恢复置位。

代码的close_cr()函数，是将CR0第16位清零，open_cr()函数是将CR0第16位恢复。

最后在卸载modu模块的时候，将系统调用表的内容还原。

#include<linux/init.h>
#include<linux/module.h>
#include<linux/moduleparam.h>
#include<linux/unistd.h>
#include<linux/sched.h>
#include<linux/syscalls.h>
#include<linux/string.h>
#include<linux/fs.h>
#include<linux/fdtable.h>
#include<linux/uaccess.h>

#include<linux/rtc.h>

MODULE_LICENSE("Dual BSD/GPL");

#define _DEBUG
#ifdef _DEBUG
#define kprintk(fmt,args...) printk(KERN_ALERT fmt,##args)
#define kprintf(fmt,args...) printf(fmt,##args)
#define kperror(str) perror(str)
#else
#define kprintk
#define kprintf
#define kperror
#endif

/*Function declaration*/
long * get_sys_call_table(void);
unsigned int close_cr(void);
void open_cr(unsigned int oldval);
void start_hook(void);
asmlinkage long (*orig_open)(char __user *filename, int flags, int mode);

long * g_sys_call_table = NULL; //save address of sys_call_table
long g_old_sys_open = 0; //save old address of sys_open
long g_oldcr0 = 0; //save address of cr0

struct _idtr{  //中断描述符表寄存器
    unsigned short limit;
    unsigned int base;
}__attribute__((packed));

struct _idt_descriptor{
    unsigned short offset_low;
    unsigned short sel;
    unsigned char none,flags;
    unsigned short offset_high;
}__attribute__((packed));

unsigned int close_cr(void){
    unsigned int cr0 = 0;
    unsigned int ret;
    asm volatile("movl %%cr0,%%eax":"=a"(cr0));
    ret = cr0;
    cr0 &= 0xfffeffff;
    asm volatile("movl %%eax,%%cr0"::"a"(cr0));
    return ret;
}

void open_cr(unsigned int oldval){
    asm volatile("movl %%eax,%%cr0"::"a"(oldval));
}

/*Get the address of sys_call_table*/
long * get_sys_call_table(void){ //在idtr寄存器

    struct _idt_descriptor * idt;
    struct _idtr idtr;
    unsigned int sys_call_off;
    int sys_call_table=0;
    unsigned char* p;
    int i;
    asm("sidt %0":"=m"(idtr));  //汇编，sidt指令获得中断描述符表基地址
    kprintk("   address of idtr: 0x%x\n",(unsigned int)&idtr);
    idt=(struct _idt_descriptor *)(idtr.base+8*0x80);  //0x80中断为系统调用中断 这是一个描述符，下面的操作得到描述符指向的具体地址
    sys_call_off=((unsigned int)(idt->offset_high<<16)|(unsigned int)idt->offset_low);
    kprintk("   address of idt 0x80: 0x%x\n",sys_call_off);   //0x80位
    p=(unsigned char *)sys_call_off;
    for(i=0;i<100;i++){
        if(p[i]==0xff&&p[i+1]==0x14&&p[i+2]==0x85){
            sys_call_table=*(int*)((int)p+i+3);
            kprintk("   address of sys_call_table: 0x%x\n",sys_call_table);

            return (long*)sys_call_table;
        }
    }

    return 0;
}

//My own sys_open
asmlinkage long my_sys_open(char * filename, int flags, int mode){ //打印当前使用sys-open函数的进程信息和文件名
    kprintk("The process is \"%s\"(pid is %i)\n",current->comm,current->pid);
    kprintk("The file is being accessed is \"%s\"\n",filename);
    return orig_open(filename,flags,mode);
}

void start_hook(void){ //得到系统调用表地址，寻找sys-open项，替换为my_sys-open,cr0寄存器16位置0，可以写只读项
    g_sys_call_table = get_sys_call_table();
    if(!g_sys_call_table){
        kprintk("Get sys_call_table error!\n");
        return;
    }
    if(g_sys_call_table[__NR_close] != (unsigned long)sys_close){
        kprintk("Incorrect sys_call_table address!\n");
        return;
    }

    g_old_sys_open = g_sys_call_table[__NR_open];
    orig_open = (long(*)(char *, int, int))g_sys_call_table[__NR_open];

    g_oldcr0=close_cr();
    g_sys_call_table[__NR_open] = my_sys_open;
    open_cr(g_oldcr0);
}

int monitor_init(void){   //启动模块
    kprintk("Monitor init\n");
    start_hook();
    return 0;
}

void monitor_exit(void){ //退出模块 恢复系统调用表sys_open函数所在项地址为原sys_open，cr0寄存器16位置1，禁止写只读文件
    if(g_sys_call_table && g_old_sys_open){
        g_oldcr0 = close_cr();
        g_sys_call_table[__NR_open] = g_old_sys_open;
        open_cr(g_oldcr0);
    }
    kprintk("Monitor exit\n");
}

module_init(monitor_init);
module_exit(monitor_exit);

3. Makefile

obj-m += hello.o
#generate the path
CURRENT_PATH:=$(shell pwd)
#the current kernel version number
LINUX_KERNEL:=$(shell uname -r)
#the absolute path
LINUX_KERNEL_PATH:=/usr/src/linux-headers-$(LINUX_KERNEL)
#complie object
all:
    make -C $(LINUX_KERNEL_PATH) M=$(CURRENT_PATH) modules
#clean
clean:
    make -C $(LINUX_KERNEL_PATH) M=$(CURRENT_PATH) clean

obj-m := hello.o
PWD := $(shell pwd)
KVER := $(shell uname -r)
KDIR :=/lib/modules/$(KVER)/build/

all:
    $(MAKE) -C $(KDIR) M=$(PWD)

clean:
    rm -rf *.o *.mod.c *.mod.o *.ko *.symvers *.order *.a

4.加载内核模块，卸载内核模块

通过insmod XX.ko加载模块，rmmod xx.ko卸载模块。

cat /proc/modules查看模块信息，lsmod查看所有的模块。

遇到的问题及解决：

1.编写完makefile 执行Make时报错 nothing to be done for all

原因：这是因为空格和tab的转换问题

比如下面两个make就不一样。

解决：删掉前面的空格，改成tab

2.insmod后ubuntu系统卡死

原因:VMware的问题，换成virtual box就可以正常运行。

实验结果记录：

insmod 后dmesg，查看系统日志，可见记录了一些访问文件的进程名，id和文件名，于是实现了文件监控

原文地址：https://www.cnblogs.com/lqerio/p/12106855.html