拦截系统调用 目的:使用可加载内核模块(LKM)拦截系统调用 概念:从根本上来说,系统调用应作为内核的一部分来实现,并且每次添加系统调用时,在修改静态系统调用表后,都需要重新编译内核映像,该表跟踪所有实现的系统调用的所有函数指针。 因此,我们的目的是通过可加载的内核模块“拦截”现有系统调用的行为 遵循的步骤: 可加载内核模块(LKM)只是对操作系统中基本内核的扩展,可以即时加载/卸载,而无需重新编译内核或重新引导系统。 打开您选择的文本编辑器,并通过添加两个头文件开始编写一个简单的可加载内核模块: #include //this adds required headers for versioning #include //macros for module development 为了编写任何内核模块,我