我想創建一個從頭開始鎖定用戶會話並監視屬於該用戶的進程所做的每個系統調用的內核模塊。內核模塊監控系統調用?
我知道大家都在想什麼 - 「使用strace」 - 但我想用我收集的數據進行一些自己的日誌記錄和分析,strace有一些問題 - 應用程序可以使用「mmap」寫入文件時不會出現文件內容作爲「開放」系統調用的參數,或者沒有任何寫入權限的應用程序可能會創建複製敏感數據的內核。
我想能夠處理這些特殊情況,並做一些我自己的日誌記錄。我想知道 - 我怎麼能通過我的模塊路由所有系統調用?有沒有辦法做到這一點,而不觸及內核代碼?
感謝
你應該使用'ptrace'系統調用(它確實被'strace'和'gdb'使用)。祝你好運,你需要一些。但是你可能不需要編寫任何內核模塊,只需要使用'ptrace'開發一個應用程序。 –