内核模块监控系统调用?

时间:2012-10-16 15:17:04

标签: linux module kernel

我想从头创建一个内核模块,它锁定用户会话并监视属于该用户的进程所做的每个系统调用。

我知道每个人都在想什么 - “使用strace” - 但是我想用我收集的数据进行一些自己的日志记录和分析,并且strace有一些问题 - 应用程序可以使用“mmap”来编写到没有文件内容的文件作为“开放”系统调用的参数出现,或者没有任何写入权限的应用程序可能会创建coredump来复制敏感数据。

我希望能够处理这些特殊情况并执行一些自己的日志记录。我不知道 - 我如何通过我的模块路由所有系统调用?有没有办法在不触及内核代码的情况下做到这一点?

由于

2 个答案:

答案 0 :(得分:4)

我对你的问题没有确切的答案,但是几天前我发了一篇论文,它可能对你有用:

http://www.cse.iitk.ac.in/users/moona/students/Y2157230.pdf/

答案 1 :(得分:2)

我过去通过使用内核模块修补系统调用表来做类似的事情。每个修补的函数都执行以下操作:

patchFunction(/*params*/)
{
   // pre checks
   ret = origFunction(/*params*/);
   // post checks
   return ret;
}

请注意,当您开始在内核数据结构中进行混乱时,您的模块将依赖于版本。可能必须针对您正在安装的特定内核版本编译内核模块。

另请注意,这是许多rootkit使用的技术,因此如果您安装了安全软件,它可能会阻止您执行此类操作。