Перехват обращений к файлу в ядре Linux.

Вы верно заметили, GPF_DISABLE и GPF_ENABLE там используются неверно =) Поясните, что значит "слежка". Вообще, есть ещё один механизм - LSM, но он в последнее время тоже не экспортируется ))

 

Слежка в смысле прехват всех обращений к файлу (открытие, чтение, запись, закрытие) и всех данных записываемых считываемых.

 

Да, тогда проще всего будет модифицировать записи в таблицах системных вызовов. Имейте в виду, наличие 2х таких таблиц в 64-битной системе и, соответственно, различие значений констант-номеров системных вызовов.

 

Спасибо. Буду пробовать.

 

чо вы хотите от системы разрабы которой ненавидят отладчики в принципе

http://linuxmafia.com/faq/Kernel/linus-im-a-bastard-speech.html

 

Почитайте здесь:
http://www.opennet.ru/base/dev/intercept_lnx.txt.html

 

В статье описан годный метод поиска sys_call_table для простейшего случая - использования int $80. Всё остальное - шлак, т.к. через /dev/mem пытаться что-то сделать уже бесполезно: современные ядра ограничивают возможность работы с этим файлом 1M адресов.

 

7mm
Ваши современные ядра не могут нормально даже строки копировать(в багрепортах были оверфловы примитивнейшие в ядре). Не говоря уже про всё остальное. Думаю если копнуть, окажется что это решето. Хотя это и так все знают.

 

Инде, пруф в студию или не засоряйте эфир пустоблудием

 

Код (Text):

1. bash-4.2$ strace -p 2401 -o /tmp/out.txt
2. Process 2401 attached
3. ^CProcess 2401 detached
4. bash-4.2$ cat /tmp/out.txt
5. bash-4.2$ cat /tmp/out.txt|grep ^write\(
6.  

 

Да, человек, наверное, не знал, что strace существует и достаточно посмотреть исходники этой тулзы.