ユーザーセッションにラッチし、そのユーザーに属するプロセスによって行われた各システムコールを監視するカーネルモジュールをゼロから作成したいと考えています。
誰もが考えていることは知っています-「straceを使用する」-しかし、収集したデータを使用して独自のログと分析を行いたいのですが、straceにはいくつかの問題があります-アプリケーションは「mmap」を使用してファイルに書き込むことができますファイルの内容が「open」システム コールの引数として表示されない場合、または書き込み権限のないアプリケーションが機密データをコピーするためにコアダンプを作成する場合があります。
これらの特殊なケースを処理し、独自のロギングを実行できるようにしたいと考えています。私は疑問に思っています-モジュールを介してすべてのシステムコールをルーティングするにはどうすればよいですか? カーネルコードに触れずにそれを行う方法はありますか?
ありがとう