我想从头创建一个内核模块,它锁定用户会话并监视属于该用户的进程所做的每个系统调用。
我知道每个人都在想什么 - “使用strace” - 但是我想用我收集的数据进行一些自己的日志记录和分析,并且strace有一些问题 - 应用程序可以使用“mmap”来编写到没有文件内容的文件作为“开放”系统调用的参数出现,或者没有任何写入权限的应用程序可能会创建coredump来复制敏感数据。
我希望能够处理这些特殊情况并执行一些自己的日志记录。我不知道 - 我如何通过我的模块路由所有系统调用?有没有办法在不触及内核代码的情况下做到这一点?
由于
答案 0 :(得分:4)
我对你的问题没有确切的答案,但是几天前我发了一篇论文,它可能对你有用:
http://www.cse.iitk.ac.in/users/moona/students/Y2157230.pdf/
答案 1 :(得分:2)
我过去通过使用内核模块修补系统调用表来做类似的事情。每个修补的函数都执行以下操作:
patchFunction(/*params*/)
{
// pre checks
ret = origFunction(/*params*/);
// post checks
return ret;
}
请注意,当您开始在内核数据结构中进行混乱时,您的模块将依赖于版本。可能必须针对您正在安装的特定内核版本编译内核模块。
另请注意,这是许多rootkit使用的技术,因此如果您安装了安全软件,它可能会阻止您执行此类操作。