Логирование sys call

0

1

Здравствуйте необходимо как то реализовать возможность обнаружения и сохранения системных вызовов к ядру(т.е. процесс к примеру вызывает open или mkdir, а я это дело обнаруживаю и что с этим делаю), при этом важно знать еще и передаваемые параметры.

Есть идея заюзать перехват ф-ий в самом ядре (через модуль), но это не есть красиво по понятным причинам, особенно в ядре 2.6, а если использовать ptrace, то будет сложно отловить sys call'ы ото всех процессов в системе(а надо именно так!), может есть какой то этичный способ? может готовое решение, общее падение производительности в целом не критично (в 2-4 раза можно точно +) )

И еще по поводу перехвата, уже пробовал делать, взял из файла System.map адрес sys_call_table и пробовал там поменять адрес одного вызова на другой, безрезультатно, судя по всему из-за защиты памяти(причем модуль обратно уже НЕ выгружался но и перехвата не было), собсна если чего ткните носом по поводу отключения защиты памяти или что там мне мешает сделать замену :'(

Ссылка

←

TCP и UDP

[java] Date промежуток в double

→

man strace

anonymous
(13.04.11 21:31:25 MSK)

Ответ на: комментарий от anonymous 13.04.11 21:31:25 MSK

оно, конечно,замечательно не спорю, но как то не удобно отслеживать ВСЕ процессы одновременно =(, но пока буду в эту сторону идти, огромное спасибо

alexsandrch-ch
(13.04.11 21:45:49 MSK) автор топика

Ссылка

Можно подменить вызовы libc на свои в своей библиотеке, но работает понятное дело только с динамическими бинарниками.

frey ★★
(13.04.11 21:51:43 MSK)

Ссылка

очередная попытка написания антивируса?

~~DELIRIUM~~ ☆☆☆☆☆
(13.04.11 22:04:19 MSK)

Ответ на: комментарий от DELIRIUM 13.04.11 22:04:19 MSK

не совсем, попытка сдать курсач по защите операционных систем =) плюс иногда охота иметь способ проверить какая зараза правит какой нить конфиг, когда не просят, помню долго искал виновника постоянного обновления resolv.conf)

alexsandrch-ch
(13.04.11 22:08:46 MSK) автор топика

Ссылка

SystemTap

Возможно, оно тебе поможет (сам не разбирался подробно).

anonymous
(13.04.11 22:14:49 MSK)

Ответ на: комментарий от anonymous 13.04.11 22:14:49 MSK

Все равно надо думать, как запускать systemtap автоматически, тривиально это не решается.

frey ★★
(13.04.11 22:25:52 MSK)

Ответ на: комментарий от frey 13.04.11 22:25:52 MSK

Могу только сказать, что в закрытом sensorpoint это есть и там используется kernel probe, который перехватывает execve. Можешь реализовать аналог на sustemtap.

frey ★★
(13.04.11 22:30:55 MSK)

Ссылка

Ответ на: комментарий от anonymous 13.04.11 22:14:49 MSK

Все, SystemTap то, пошел разбираться, так просто оно не завелось, но думаю разобраться можно! Огромное спасибо всем кто откликнулся!

alexsandrch-ch
(13.04.11 23:13:20 MSK) автор топика

Ссылка

Думаю вам стоит посмотреть на это:
http://lttng.org/

bukinist
(13.04.11 23:22:31 MSK)

Ссылка

1. с ядра 2.6.2x страницы памяти для sys call table имеют флаг ro. можно из ядра самому поменять на rw (код где-то у китайцев есть), потом ставь хуки какие-хошь. 2. есть audit(d), редхатовский, специально созданный для логирования системных вызовов. входит в ванил кернел. логирует системные вызовы, передаваемые параметры, код возврата. собственно именно это тебе и надо. 3. если же хочется по весеннему, то в документации к ядру есть упоминание фреймворка для расстановки хуков внутри ядра (используется для отладки +секурности).

anonymous
(14.04.11 13:34:11 MSK)

Ответ на: комментарий от anonymous 14.04.11 13:34:11 MSK

LSM(3) нельзя модулем подгружать, убрали после 2.6.18 экспорт нужных функций, теперь только если вместе с ядром собирать.

audit(d)(2) интересная штука, но это похоже только логи, что-то там перехватить или сделать не получится, не?

(1) :)

frey ★★
(14.04.11 14:51:06 MSK)

Ответ на: комментарий от frey 14.04.11 14:51:06 MSK

> audit(d)(2) интересная штука, но это похоже только логи, что-то там перехватить или сделать не получится, не? только логи.

LSM(3) нельзя модулем подгружать, убрали после 2.6.18 экспорт нужных функций, теперь только если вместе с ядром собирать.

фреймворк входит в ванила кернел. нашёл как оно называется - kprobe(jprobe/return probe). в документации есть образец установки хука, перехвата данных. файл kprobes.txt. ещё есть какая-то муть аля kernel markers, но не вникал. короче тут походу можно обойтись без велосипеда.

loginrl103
(14.04.11 15:39:37 MSK)

Ответ на: комментарий от loginrl103 14.04.11 15:39:37 MSK

kprobes - это как раз то, что systemtap использует, так что один хер. :)

frey ★★
(14.04.11 16:08:28 MSK)

Ответ на: комментарий от frey 14.04.11 16:08:28 MSK

systemtap только логирует, изменять поведение обработчика не может.

loginrl103
(14.04.11 16:22:37 MSK)

Ответ на: комментарий от loginrl103 14.04.11 16:22:37 MSK

systemtap только логирует, изменять поведение обработчика не может.

Системтап ещё и не такое может. Я за его бурным развитием сейчас не слежу, но больше года назад он уже умел даже перехватывать вызов функций в юзерспейсе. Где-то тут на ЛОРе даже пример в сраче приведён был.

mv ★★★★★
(15.04.11 07:57:01 MSK)

Ответ на: комментарий от mv 15.04.11 07:57:01 MSK

пользовательских функций или непосредственно сисколлов?

loginrl103
(15.04.11 10:38:43 MSK)

Ответ на: комментарий от loginrl103 15.04.11 10:38:43 MSK

пользовательских функций или непосредственно сисколлов?

И функций в программе, и сисколлов, и ядерных функций.

mv ★★★★★
(15.04.11 16:02:43 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←

TCP и UDP

Development

[java] Date промежуток в double

→

Похожие темы