 |
|
Модераторы: xvr |
 
|
|
Перехват запуска приложений 
| ky0x5a |
|
|||
|
Новичок Профиль Группа: Участник Сообщений: 20 Регистрация: 17.5.2011 Репутация: нет Всего: нет |
Доброе время суток. Мне для диплома нужно реализовать такую веСЧ:
Необходимо перехватывать запуск приложений, при этом получать данные о запускаемом файле stat(), так же md5 сумму, если сумма md5 совпадает с базой, то делать kill pid. Этакий антивирус, но не совсем. Главная задача, как научиться перехватывать вызов приложений??? Подскажите к какой области обратиться, или может есть готовые реализации? ps: Через месяц сдача диплома Это сообщение отредактировал(а) ky0x5a - 17.5.2011, 13:24 |
|||
|
||||
Загрузка ...
| GrayCardinal |
|
|||
|
Фигасе  Профиль Группа: Завсегдатай Сообщений: 3039 Регистрация: 9.11.2003 Репутация: 8 Всего: 58 |
ky0x5a,
Простите за хамство, но Вы хотите за месяц сделать диплом ? Чтобы мы за Вас сделали ?  PS Копать надо ядро, выносить кое-какой функционал в юзер-спэйс и с этим уже работать. |
|||
|
||||
| 500mhz |
|
|||
 шайтан Профиль Группа: Завсегдатай Сообщений: 1017 Регистрация: 5.5.2008 Где: Киев / Italy Репутация: нет Всего: 14 |
ну так пишем LKM и все, естественно рут нужен для загрузки
-------------------- |
|||
|
||||
| svlary |
|
|||
|
Бывалый Профиль Группа: Участник Сообщений: 207 Регистрация: 8.9.2009 Репутация: 4 Всего: 4 |
Может - не так все страшно ? Как вариант : попробовать мониторить, с помощью inotify каталог /proc. И, при возникновении новой поддиректории, лезем в /proc/<PID>/cmdline достаем оттуда имя файла процесса и считаем его MD5.... |
|||
|
||||
| GrayCardinal |
|
|||
|
Фигасе Профиль Группа: Завсегдатай Сообщений: 3039 Регистрация: 9.11.2003 Репутация: 8 Всего: 58 |
svlary,
Так, кончено, можно, но ИМХО, слишком просто для диплома  |
|||
|
||||
| ky0x5a |
|
|||
|
Новичок Профиль Группа: Участник Сообщений: 20 Регистрация: 17.5.2011 Репутация: нет Всего: нет |
GrayCardinal пишите по существу! в моем посте о просьбе написать мне диплом ничего не сказано.
500mhz ну конечно рут, тут не стоит вопрос о каком то взломе и еще чего та. Вариант с моном /proc не подходит, ведь я хочу запретить запуск приложения если оно по md5 есть в моем списке. Добавлено @ 09:26 Нашел такую софтину ClamFS - An user-space anti-virus protected file system . Попробую разобрать ее, ну если у кого есть какая мысля, прошу поделиться. Это сообщение отредактировал(а) ky0x5a - 23.5.2011, 09:26 |
|||
|
||||
| GrayCardinal |
|
|||
|
Фигасе Профиль Группа: Завсегдатай Сообщений: 3039 Регистрация: 9.11.2003 Репутация: 8 Всего: 58 |
ky0x5a,
По существу, так по существу... Лично я бы начал с переноса кода MD5 суммы под ядро. На сколько помню, там только CRC. А дальше от этого и плясать. Хачим системный вызов exec, считаем MD5, при нужде блокируем. Я так понимаю блокировать надо один процесс (правильно понимаю ?), всвязи с чем эту MD5 можно и прошить в ядро (не заморачиваться с вводом MD5 из юзер-спэйса). |
|||
|
||||
| svlary |
|
|||
|
Бывалый Профиль Группа: Участник Сообщений: 207 Регистрация: 8.9.2009 Репутация: 4 Всего: 4 |
Если серьезно, то ПО СУЩЕСТВУ, сама идея тащить виндовозные принципы безопасности в Linux представляется мне полной ахинеей... Они принципиально разные !!! Надо тебе обеспечить безопасность на 101% ? Ну тогда - SELinux настраивать. Этот монстр может все.... Я его плохо знаю, но вполне допускаю, что можно его так настроить, что на запуск любого исполняемого модуля, он будет вызывать программу контроля целостности.... |
|||
|
||||
| MAKCim |
|
|||
 Воін дZэна Профиль Группа: Экс. модератор Сообщений: 5644 Регистрация: 10.12.2005 Где: Менск, РБ Репутация: 84 Всего: 207 |
раз диплом, значит ни selinux, ни еще что-нибудь не подходят
человеку нужен свой велосипед если не важно, как идет работа с ядром: в виде LKM или патча, то сделать в виде последнего ОЧЕНЬ просто вот здесь http://tomoyo.sourceforge.jp/cgi-bin/lxr/s...fs/exec.c#L1211 читаешь весь файл в буфер, считаешь md5 и возвращаешь -EPERM если не совпадает -------------------- Ах, у елі, ах, у ёлкі, ах, у елі злыя волкі © |
|||
|
||||
| 500mhz |
|
|||
|
шайтан Профиль Группа: Завсегдатай Сообщений: 1017 Регистрация: 5.5.2008 Где: Киев / Italy Репутация: нет Всего: 14 |
MAKCim
ТС хочет отловить execv -------------------- |
|||
|
||||
|
|
| Правила форума "С/С++: Программирование под Unix/Linux" | |
|
|
Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, xvr. |
| 1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) | |
| 0 Пользователей: | |
| « Предыдущая тема | C/C++: Программирование под Unix/Linux | Следующая тема » |
[ Время генерации скрипта: 0.0998 ] [ Использовано запросов: 21 ] [ GZIP включён ]
Реклама на сайте Информационное спонсорство
|
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |