我是汇编和Linux内核的新手。我想显示最近用于所有进程的100个。(strace只显示一个进程。)。
要做到这一点,我想在arch/kernel/entry_64.s中声明一个100索引的数组,然后将它的内存地址发送到我的系统调用的C函数并显示给用户,但我无法在汇编中声明数组。我怎么能这样做?
答案 0 :(得分:1)
如果您不能按原样使用审核,那么我建议您调整审核代码路径。
1)使呼叫无条件,例如在jmp auditsys之前插入system_call_fastpath
2)根据自己的喜好更改audit_syscall_entry(内核/ auditsc.c中的C代码)