gpt4 book ai didi

linux - 如何使用 ptrace 跳过系统调用?

转载 作者:IT王子 更新时间:2023-10-29 01:15:40 32 4
gpt4 key购买 nike

我正在尝试使用 ptrace 编写一个程序来跟踪 child 进行的所有系统调用。

现在我有一个禁止 child 使用的系统调用列表。我能够使用 ptrace 跟踪所有系统调用,但我只是不知道如何跳过特定的系统调用。

目前,每当子进程进入或退出系统调用 (PTRACE_SYSCALL) 时,我的跟踪(父)进程都会收到一个信号。但是,如果 child 试图输入禁止的系统调用,那么我不想让 child 跳过该调用并转到下一步。此外,当我这样做时,我希望 child 知道存在权限被拒绝错误,所以我将设置 errno = 13,这就足够了吗?

更新:gdb 提供了这种跳过一行的功能..gdb 使用什么机制?

如何实现?

更新:使用 ptrace 实现此目的的最佳方法是将原始系统调用重定向到其他系统调用,例如 nanosleep() 调用。此调用将失败,因为它将收到非法参数。然后,您只需将 EAX 中的返回码更改为 -EACCES 即可假装调用因权限被拒绝错误而失败。

最佳答案

我发现有两个大学讲座提到无法中止启动的系统调用是 ptrace 的缺点(联机帮助页提到了一个 PTRACE_SYSEMU 宏,看起来可以做到,但较新的 header 没有)。从理论上讲,您可以利用 ptrace 进入和退出停止来抵消您不想要的调用——通过交换会导致系统调用失败或什么都不做的虚假参数,或者通过注入(inject)将抵消的代码以前的系统调用,但这看起来非常 hacky。

在 Linux 上,您应该能够通过 seccomp 实现您的目标:

#include <fcntl.h>
#include <seccomp.h>
#include <errno.h>
#include <sys/stat.h>
#include <sys/types.h>
#include <unistd.h>
#include <fcntl.h>
#include <stdlib.h>
#include <stdio.h>

static int set_security(){
int rc = -1;
scmp_filter_ctx ctx;
struct scmp_arg_cmp arg_cmp[] = { SCMP_A0(SCMP_CMP_EQ, 2) };

ctx = seccomp_init(SCMP_ACT_ERRNO(ENOSYS));
/*ctx = seccomp_init(SCMP_ACT_ALLOW);*/
if (ctx == NULL)
goto out;

rc = seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(exit), 0);
if (rc < 0)
goto out;
rc = seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(close), 0);
if (rc < 0)
goto out;

rc = seccomp_rule_add(ctx, SCMP_ACT_ALLOW, SCMP_SYS(write), 1,
SCMP_CMP(0, SCMP_CMP_EQ, 1));
if (rc < 0)
goto out;

rc = seccomp_rule_add_array(ctx, SCMP_ACT_ALLOW, SCMP_SYS(write), 1,
arg_cmp);
if (rc < 0)
goto out;

rc = seccomp_load(ctx);
if (rc < 0)
goto out;

/* ... */

out:
seccomp_release(ctx);
return -rc;
}
int main(int argc, char *argv[])
{
int fd;
const char out_msg[] = "stdout test\n";
const char err_msg[] = "stderr test\n";
if(0>set_security())
return 1;
if(0>write(1, out_msg, sizeof(out_msg)))
perror("Write stdout");
if(0>write(2, err_msg, sizeof(err_msg)))
perror("Write stderr");

//This should fail with ENOSYS
if(0>(fd=open("/dev/zero", O_RDONLY)))
perror("open");

exit(0);

}

关于linux - 如何使用 ptrace 跳过系统调用?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39166902/

32 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com