Mô-đun hạt nhân để theo dõi syscalls?

Question

Tôi muốn tạo mô-đun hạt nhân từ đầu mà chốt vào phiên người dùng và theo dõi từng cuộc gọi hệ thống được thực hiện bởi các quy trình thuộc về người dùng đó.

Tôi biết mọi người đang nghĩ gì - "sử dụng strace" - nhưng tôi muốn có một số ghi nhật ký và phân tích của riêng mình với dữ liệu tôi thu thập được và strace có một số vấn đề - ứng dụng có thể sử dụng "mmap" ghi vào một tệp mà không có nội dung tệp nào xuất hiện dưới dạng đối số của cuộc gọi hệ thống "mở" hoặc ứng dụng mà không có quyền ghi nào có thể tạo coredumps để sao chép dữ liệu nhạy cảm.

Tôi muốn có thể xử lý các trường hợp đặc biệt này và thực hiện một số lần đăng nhập của riêng mình. Tôi tự hỏi - làm thế nào tôi có thể định tuyến tất cả các syscalls thông qua mô-đun của tôi? Có cách nào để làm điều đó mà không cần chạm vào mã hạt nhân?

Cảm ơn

Answer 1

Tôi có thực hiện một cái gì đó tương tự trong quá khứ bằng cách sử dụng một mô-đun hạt nhân để vá bảng gọi hệ thống. Mỗi chức năng được vá đã thực hiện một số việc như sau:

patchFunction(/*params*/) 
{ 
    // pre checks 
    ret = origFunction(/*params*/); 
    // post checks 
    return ret; 
} 

Lưu ý rằng khi bạn bắt đầu mút xung quanh trong cấu trúc dữ liệu hạt nhân, mô-đun của bạn sẽ phụ thuộc phiên bản. Mô-đun hạt nhân có thể sẽ phải được biên dịch cho phiên bản hạt nhân cụ thể mà bạn đang cài đặt. Cũng cần lưu ý, đây là một kỹ thuật được nhiều rootkit sử dụng vì vậy nếu bạn cài đặt phần mềm bảo mật, nó có thể cố gắng ngăn bạn làm điều gì đó như thế này.

Answer 2

Tôi không có câu trả lời chính xác cho câu hỏi của bạn, nhưng tôi đỏ một giấy một vài ngày trước đây và nó có thể hữu ích cho bạn:

http://www.cse.iitk.ac.in/users/moona/students/Y2157230.pdf/