Moduł jądra do monitorowania syscalls?

Question

Chciałbym utworzyć moduł jądra od zera, który zostanie zablokowany w sesji użytkownika i monitorować każde wywołanie systemowe wykonane przez procesy należące do tego użytkownika.

Wiem, co wszyscy myślą - "wykorzystaj strace" - ale chciałbym mieć trochę własnego rejestrowania i analizy danych, które zbieram, a strace ma pewne problemy - aplikacja może użyć "mmap" do zapisuj do pliku bez zawartości pliku, która kiedykolwiek pojawiła się jako argumenty "otwartego" wywołania systemowego, lub aplikacja bez uprawnień do zapisu może tworzyć coredumpy do kopiowania wrażliwych danych.

Chcę być w stanie obsłużyć te specjalne przypadki i zrobić własne logowanie. Zastanawiam się jednak - w jaki sposób mogę skierować wszystkie syscalls przez mój moduł? Czy jest jakiś sposób, aby to zrobić bez dotykania kodu jądra?

Dzięki

Answer 1

mam zrobić coś podobnego w przeszłości, używając modułu jądra do patchowania tabeli wywołań systemowych. Każdy poprawionych funkcji zrobił coś tak:

patchFunction(/*params*/) 
{ 
    // pre checks 
    ret = origFunction(/*params*/); 
    // post checks 
    return ret; 
} 

Należy pamiętać, że po uruchomieniu mucking w struktur danych jądra, twój moduł staje wersja zależne. Moduł jądra będzie prawdopodobnie musiał zostać skompilowany dla konkretnej wersji jądra, na której się instalujesz.

Należy również zauważyć, że jest to technika stosowana przez wiele rootkitów, więc jeśli masz zainstalowane oprogramowanie zabezpieczające, możesz próbować uniemożliwić zrobienie czegoś takiego.

Answer 2

Nie mam dokładnej odpowiedzi na swoje pytanie, ale czerwony papier kilka dni temu i może to być przydatne dla Ciebie:

http://www.cse.iitk.ac.in/users/moona/students/Y2157230.pdf/