milabs Jan 8 2014 at 22:25

Перехват функций ядра Linux с использованием исключений (kprobes своими руками)

8 min

14K

System Programming*C*

Tutorial

+43

Comments 8

rozhik Jan 9 2014 at 00:48

Не совсем понял область применения.
Если нужно модифицировать поведение для всех программ — у нас есть исходный код ядра. Если в конкретной программе — то отлично работает механизм как у strace.
Можно в статью добавить информацию о целевом применении?

milabs Jan 9 2014 at 02:06

Статья, очевидно, относится к ядерному программированию. Рассмотрен метод динамической модификации, когда не возможности (желания, необходимости) править исходники ядра. Про strace я что-то не совсем понял.

rozhik Jan 9 2014 at 02:27

Благодарю за ответ. Понятное применение руткиты. Другие модификации окружения вполне реально делать и из юзверь-спэйса через ptrace.h + приколы с LD_PRELOAD. (Через что работает strace + gdb)

milabs Jan 9 2014 at 18:55

Ну о чём вы. Как из юзер-спейса скрыть присутствие модуля или процесса?

rozhik Jan 9 2014 at 19:28

Я же написал, что если мы не делаем руткиты итп — то юзерспейса достаточно, ибо не нужно ничего прятать. Я человек законопослушный ;)
И со времён 1.6 ядра, ядерным программированием не занимаюсь.
Но, вообще, из юзерспейса можно скрыть всё что угодно для дерева своих подпроцессов.

milabs Jan 9 2014 at 22:08

Ах, да, теперь понял :)

am83 Jan 9 2014 at 18:51

А почему не использовать jprobes для перехвата функций? Они основаны на kprobes, и с ними можно выполнить перехват. Если цель статьи была показать как оно все изнутри работает, может правильнее было показать как работают именно jprobes/kprobes?

milabs Jan 9 2014 at 18:53

Почему нельзя? Можно, но цель статьи была именно другая.

Show the best of all time