1.Linux内核-hook系统调用
2.glibc源码分析（二）系统调用
3.Linux查看系统调用学习指南linux查看系统调用
4.彻底理解Linux ARM64系统调用

Linux内核-hook系统调用

       内核符号表的系统修改是实现系统调用劫持的关键。系统调用通过触发0x软中断并跳转到system_call()函数来执行，调用该函数根据系统调用号跳转到内核函数的接口入口地址。修改内核符号表，源码用接使其跳转到自定义函数，统调即实现了系统调用劫持。口源上位机plc源码

       获取系统调用表是码里hook系统调用的第一步。以下是系统几种获取系统调用表地址的方法：

       （1）调用内核导出函数kallsyms_lookup_name获取

       （2）读取system.map文件获取

       （3）从PAGE_OFFSET开始遍历查找__NR_close系统调用首地址

       （注：PAGE_OFFSET为内核空间与用户空间的分界地址，不同体系结构有所不同。调用）

       获取系统调用表后，接口可以将系统调用替换为自定义接口。源码用接以下以sys_open为例，统调展示拦截系统调用的口源内核模块代码编写过程：

       （1）找到sys_open的声明（在内核源代码路径下）

       （2）在hook.h文件中声明要hook的系统调用函数指针和自定义的替换系统调用函数

       （3）获取系统调用表地址

       （4）获取sys_open指针，将其指向自定义的码里号码随意变源码open函数

       在修改系统调用表指向时，需先关闭内核写保护机制，系统修改完毕后重新启用。

       x_ CPU中，控制寄存器的bit控制写保护标志。通过内核提供的接口或内联汇编代码修改bit标志。

       （5）实现myhook_open函数

       （6）卸载模块时，还原系统调用指向

       （7）编写Makefile文件，编译代码

       6、加载模块及日志打印

       ending!!!

       以上是hook系统调用sys_open的讲解，其他系统调用的hook方法类似。

glibc源码分析（二）系统调用

       在glibc源码中，许多系统调用被使用了.c封装的方式进行封装。这一过程借助嵌入式汇编，源码与刮码严格遵循系统调用封装规则。以stat函数为例，其实现揭示了.c封装的奥秘。

       在源代码中，stat系统调用被INLINE_SYSCALL宏所封装。该宏首先调用INTERNAL_SYSCALL宏，执行系统调用并把返回值存入resultvar变量中。接下来，通过判断系统调用是否成功执行，采取相应的后续操作。若执行错误，则调用__syscall_error设置errno并返回-1；若执行成功，则返回resultvar。数独js源码

       在处理系统调用参数个数nr时，INTERNAL_SYSCALL宏发挥了关键作用。根据nr的不同，宏会调用不同的内部函数进行处理。例如，当nr为0时，调用INTERNAL_SYSCALL_MAIN_0宏，设置eax寄存器为系统调用号，执行*_dl_sysinfo函数进行系统调用。当nr为1时，宏将参数1存入ebx寄存器，同时设置eax寄存器为系统调用号，并执行系统调用。jquery源码燕十八

       类似的，nr为2、3、4、5或6时，宏分别会将参数2至6存入ecx、edx、esi、edi或ebp寄存器中，并与系统调用号相结合，执行*_dl_sysinfo函数。通过这一系列的嵌入式汇编操作，.c文件成功封装了系统调用，实现了高效、精确的调用过程。

       总的来说，glibc中.c封装的实现展示了汇编语言的强大功能，以及在系统调用处理中的应用。通过精确的汇编指令和灵活的参数传递，封装过程确保了系统调用的执行效率和正确性。

Linux查看系统调用学习指南linux查看系统调用

       Linux 是一种开放源代码的操作系统，是众多种操作系统的中最受欢迎的一种，在技术术语中，它也称为一种基于POSIX特性的混合内核操作系统。本文介绍了在Linux环境中查看系统调用的方法。

       要在Linux环境下查看系统调用，第一步就是要下载strace，strace是一款用于分析和跟踪系统调用的工具，可以有效的检测出程序的行为。strace的安装非常的简单，只需要输入如下命令即可安装:

       `sudo apt-get install strace`

       安装完成后，可以通过strace工具查看系统调用，比如可以查看系统中某个应用程序所执行的操作。我们以检测Linux中命令行程序ls的行为为例，只需要输入如下命令即可：

       `strace ls –alF`

       使用strace可以追踪系统调用，比如它提供了追踪函数调用历史，寄存器和内存状态的功能，可以轻松地获取程序的具体详细执行状态；另外，它还可以实时获取系统的性能状况，可以帮助开发人员更好的调优和系统优化。

       系统调用是在Linux操作系统中非常重要的，了解系统调用和控制可以为系统开发编程进程提供有效的参考指导，strace就是帮助查看和跟踪Linux系统调用的有力神器，掌握它的使用方法，就可以轻松查看系统的具体调用状态。

彻底理解Linux ARM系统调用

       本文将逐步解析Linux ARM系统调用的工作原理，从用户程序如何通过系统调用进入内核并执行功能。首先，我们理解系统调用的本质：应用程序通过软中断的方式从用户态切换到内核态，然后由内核处理特定任务，再返回用户态。在ARMv8架构的ARM处理器中，这一过程涉及运行级别的划分，如EL0、EL1、EL2和EL3，系统调用通常发生在从EL0到EL1的跳转。

       在x架构中，使用int $0x汇编指令触发系统调用，而在ARMv8中，对应的指令是svc。glibc库的系统调用实现是关键，例如在glibc-2.源码中，以bind函数为例，可以看到通过INTERNAL_SYSCALL_RAW宏和svc指令实现的内核调用。接下来，我们将亲手模拟write函数的系统调用过程。

       下面是一个简单的write函数实现示例，编译并运行它，你可以在我的GitHub项目javonhe/multi_experiments中获取源代码：GitHub - javonhe/multi_experiments: experiments for study。如果你觉得这个内容有价值，不妨分享或者收藏，你的支持将是我继续分享知识的动力。