一、简述

　　目前流行和成熟的kernel inline hook技术就是修改内核函数的opcode，通过写入jmp或push ret等指令跳转到新的内核函数中，从而达到修改或过滤的功能。这些技术的共同点就是都会覆盖原有的指令，这样很容易在函数中通过查找jmp，push ret等指令来查出来，因此这种inline hook方式不够隐蔽。本文将使用一种高级inline hook技术来实现更隐蔽的inline hook技术。

　　二、更改offset实现跳转

　　如何不给函数添加或覆盖新指令，就能跳转到我们新的内核函数中去呢?我们知道实现一个系统调用的函数中不可能把所有功能都在这个函数中全部实现，它必定要调用它的下层函数。如果这个下层函数也可以得到我们想要的过滤信息等内容的话，就可以把下层函数在上层函数中的offset替换成我们新的函数的offset，这样上层函数调用下层函数时，就会跳到我们新的函数中，在新的函数中做过滤和劫持内容的工作。原理是这样的，具体来分析它该怎么实现, 我们去看看sys_read的具体实现：

linux-2.6.18/fs/read_write.c
asmlinkage　ssize_t　sys_read(unsigned　int　fd,　char　__user　*　buf,　size_t　count)
{
　　　　　　　　struct　file　*file;
　　　　　　　　ssize_t　ret　=　-EBADF;
　　　　　　　　int　fput_needed;

　　　　　　　　file　=　fget_light(fd,　&fput_needed);
　　　　　　　　if　(file)　{
　　　　　　　　　　　　　　　　loff_t　pos　=　file_pos_read(file);
　　　　　　　　　　　　　　　　ret　=　vfs_read(file,　buf,　count,　&pos);
　　　　　　　　　　　　　　　　file_pos_write(file,　pos);
　　　　　　　　　　　　　　　　fput_light(file,　fput_needed);
　　　　　　　　}

　　　　　　　　return　ret;
}
EXPORT_SYMBOL_GPL(sys_read);