Well sper sa nu bat campii prea tare:
la init : sys_call_table[__NR_execve] = hacked_execve;
si
int hacked_execve(struct pt_regs regs)
{
int ret;
char *filename;
lock_kernel();
filename = getname((char *)regs.ebx);
printk(KERN_DEBUG "EXEC: %s via: %s uid: %d euid: %d gid: %d egid: %d
suid: %d sgid: %d fsuid: %d fsgid: %d pid:
%d\n",filename,current->comm,current->uid,current->euid,current->gid,current->egid,current->suid,
current->sgid,current->fsuid,current->fsgid,current->pid);
ret = PTR_ERR(filename);
if(IS_ERR(filename)) { unlock_kernel();return ret;}
ret = do_execve(filename,(char **)regs.ecx,(char **)regs.edx, ®s);
if(ret == 0) current->flags &= ~PT_DTRACE;
putname(filename);unlock_kernel();return ret;
}
On 24 Mar 2003, Dorel Nastasa wrote:
>
> Modul kernel care trebuie sa monitorizeze apelurile de sistem.
> Daca sistemul face apel atunci sau intra in functia mea sau in cea
> originala a lui.
> Nu ar trebuie sa dea eroare.
>
>
> Ce gresesc? Mai mult ce sigur niste registri nelalocul lor insa cum...
> sa vad ce se intampla pe acolo?
>
>
>
> On Mon, 2003-03-24 at 17:04, Claudiu Cismaru wrote:
> > -----BEGIN PGP SIGNED MESSAGE-----
> > Hash: SHA1
> >
> > On Monday 24 March 2003 16:45, Dorel Nastasa wrote:
> > > Salut tuturor.
> > >
> > > Poate ma ajuta cineva cu urmatoarea problema:
> > > - am o functia care inlocuieste apelurile sistem, acestea fiind salvate
> > > intr-un tablou, functie definita:
> > > asmlinkage int functie( void )
> > >
> > > inlocuieste in sys_call_table[ __NR_open, etc... ] un apel sistem care
> > > este interceptat. La utilizare din userspace a apelului se intra in
> > > functie, se salveaza registrii, reface vechea adresa a apelului sistem,
> > > face int 80h, si INCEARCA sa modifice apelul sistem
> > > din nou pe functia mea: moment in care crapa.
> >
> > Functia asta e intr-un kernel module ? Sau in userspace ? Daca e in kmod, ai
> > tinut cont ca esti in MULTIuser/MULTItasking mode ? Adica de unde stii ca tu
> > cand faci modificare sistemul nu face apel la acel syscall la care tu
> > modifici adresa ?
> >
> > PS: daca faci in userspace... sanatate...
> >
> > - --
> > Claudiu
> > -----BEGIN PGP SIGNATURE-----
> > Version: GnuPG v1.2.1 (GNU/Linux)
> >
> > iD8DBQE+fx52rwEDsE5SrbgRArKYAKDqkj3ODO4seyJhhFjLdX0QO1toFwCfTHuB
> > jAgOTDcbactV7/lIXHWUtOg=
> > =X1X0
> > -----END PGP SIGNATURE-----
> >
> > --
> > Pentru dezabonare, trimiteti mail la
> > [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
> > REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
> >
> >
>
>
>
>
> -------------------------------------------------------
> Xnet scaneaza automat toate mesajele impotriva virusilor folosind RAV AntiVirus.
> Xnet automatically scans all messages for viruses using RAV AntiVirus.
>
> Nota: RAV AntiVirus poate sa nu detecteze toti virusii noi sau toate variantele lor.
> Va rugam sa luati in considerare ca exista un risc de fiecare data cand deschideti
> fisiere atasate si ca MobiFon nu este responsabila pentru nici un prejudiciu cauzat
> de virusi.
>
> Disclaimer: RAV AntiVirus may not be able to detect all new viruses and variants.
> Please be aware that there is a risk involved whenever opening e-mail attachments
> to your computer and that MobiFon is not responsible for any damages caused by
> viruses.
>
> --
> Pentru dezabonare, trimiteti mail la
> [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
> REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
>
>
--
Pentru dezabonare, trimiteti mail la
[EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
