利用可加载内核模块实现对系统调用的拦截，即 Intercept-System-Calls

拦截系统调用 目的：使用可加载内核模块（LKM）拦截系统调用 概念：从根本上来说，系统调用应作为内核的一部分来实现，并且每次添加系统调用时，在修改静态系统调用表后，都需要重新编译内核映像，该表跟踪所有实现的系统调用的所有函数指针。 因此，我们的目的是通过可加载的内核模块“拦截”现有系统调用的行为 遵循的步骤： 可加载内核模块（LKM）只是对操作系统中基本内核的扩展，可以即时加载/卸载，而无需重新编译内核或重新引导系统。 打开您选择的文本编辑器，并通过添加两个头文件开始编写一个简单的可加载内核模块： #include //this adds required headers for versioning #include //macros for module development 为了编写任何内核模块，我