Как это 2.6 не экспортирует? Возможно нету таблицы символов... Тогда можно найти через /dev/kmem
Дизассемблируй обработчик int 0x80, команда sidt вернет содержимое таблицы деск. прерываний, 80ый элемент - обработчик 0x80 прерывания. Тут есть
call 0xc01e0f18 (адрес указатель на таблицу сис. вызовов)
у меня call расположен по адресу 0xс0106bf4.

sys_call_table[SYS_getdents] - указатель на getdents.
Перехват может сппрятать файл, процесс, соединение (тут они все монируются на файловую с-му)

Перехват get_kernel_symbols может замаскировать LKM модуль...