1 注意Linux x86_64使用的LP64字长模式
2 Linux x86_64可以通过三种方式获取system_call表
Linux x86_64有两套调用模式:Long模式和兼容模式,对应有两套调用表:system_call,ia32_syscall.
2.1 兼容方式 使用int 0x80,MSR寄存器地址为0xc0000083,宏MSR_CSTAR来代表. 使用sidt获取system_call地址
2.2 Long方式 使用syscall,MSR寄存器地址为0xc0000082,宏MSR_LSTAR来代表. 使用rdmsrl指令获取system_call地址
2.3 读取kallsyms获取system_call地址
3 通过system_call获取sys_call_table特征码
x86_64下获取sys_call_table与x86特征码不同,是"\xff\x14\xc5"
ia32是"\xff\x14\x85"
4 操作cr0时,使用64位掩码
【转】http://www.doczj.com/doc/137eb2456edb6f1aff001fa6.html
Linux x86_64 内核查找sys_call_table注意事项
原文:https://www.cnblogs.com/hshy/p/14636672.html