首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. Android安全
    3. 发新帖
[原创]seccomp-bpf+ptrace实现修改系统调用原理(附demo)
发表于: 2022-12-13 11:43 44714

[原创]seccomp-bpf+ptrace实现修改系统调用原理(附demo)

王麻子本人 活跃值
2022-12-13 11:43
44714

目前绝大部分app都会频繁的使用syscall去获取设备指纹和做一些反调试,使用常规方式过反调试已经非常困难了,使用内存搜索svc指令已经不能满足需求了,开始学习了一下通过ptrace/ptrace配合seccomp来解决svc反调试难定位难绕过等问题。

Linux 2.6.12中的导入了第一个版本的seccomp,通过向/proc/PID/seccomp接口中写入“1”来启动通过滤器只支持几个函数。

使用其他系统调用就会收到信号(SIGKILL)退出。测试代码如下:

可以看到执行到22行就结束了没执行到 Eed.
图片描述

Seccomp-BPF(Berkeley Packet Filter)是Linux内核中的一种安全机制,用于限制进程对系统调用的访问权限。它主要用于防止恶意软件对系统的攻击,提高系统的安全性。

Seccomp-BPF使用BPF(Berkeley Packet Filter)技术来实现系统调用过滤,可以使用BPF程序指定哪些系统调用可以被进程访问,哪些不能。BPF程序由一组BPF指令组成,可以在系统调用执行之前对其进行检查,以决定是否允许执行该系统调用。

Seccomp-BPF提供了两种模式:白名单模式和黑名单模式。白名单模式允许所有系统调用,除非明确指定不允许的系统调用。黑名单模式禁止所有系统调用,除非明确指定允许的系统调用。这两种模式的选择取决于您的实际需求。

Seccomp-BPF提供了一个钩子函数,在系统调用执行之前会进入到这个函数,对系统调用进行检查,如果BPF程序允许执行该系统调用,则进程可以继续执行,否则会抛出一个异常。

Seccomp-BPF程序 接收以下结构作为输入参数:

在这种情况下,seccomp-BPF 程序将允许使用 O_RDONLY 参数打开第一个调用 , 但是在使用 O_WRONLY | O_CREAT 参数调用 open 时终止程序。

图片描述

将getpid()的实现改为mkdir()的实现。主要是通过ptrace函数来跟踪子进程,获取其寄存器中的信息,然后根据需求替换对应的系统调用。

看一下main函数这里设置了跟踪openat系统调用子进程请求父进程附加 父进程开启ptrace+seccomp。

下面来解释一下bpf结构,BPF 被定义为一种虚拟机 (VM),它具有一个数据寄存器或累加器、一个索引寄存器和一个隐式程序计数器 (PC)。它的“汇编”指令被定义为具有以下格式的结构:

有累加器,跳转等待码(操作码),jt和jf是跳转指令中使用的程序计数器的增量,而k是一个辅助值,其用法取决于代码编号。

BPFs有一个可寻址空间,其中的数据在网络情况下是一个数据包数据报,对于seccomp有一下结构:

所以bpfs在seccomp中做的是对这些数据进行操作并返回一个值告诉内核下一步做什么,比如:

详细见文档:seccomp文档
现在我们可以根据系统调用号和参数进行过滤,bpf过滤器被定义为一个sock_filter结构,其中每条都是一个bpf指令。

BPF_STMT和BPF_JUMP是两个填充sock_filter结构的简单红。他在参数上有所不同。其中包括BPF_JUMP中的跳跃偏移量。在两种情况下。第一个参数都是操作码,作为助记符帮助:例如,第一个参数是使用绝对寻址(BPF_ABS) 将一个字 (BPF_W) 加载到累加器 (BPF_LD) 中。

第一条指令是要求VM将呼叫号码加载nr到累加器。第二条将与openat的系统调用号进行比较。如果他们相等(pc + o),则要求vm不修改计数器。因此运行第三条指令,否则跳转到PC+1,这是第四条指令(当执行到这条指令时,pc已经指向第三条指令)。因此如果这是一个开放的系统调用,我们将返回SECCOMP_RET_TRACE,这会调用跟踪器否则返回SECCOMP_RET_ALLOW,这将会让没有被跟踪的系统调用直接执行。

然后是第一次调用 prctl 设置PR_SET_NO_NEW_RPIVS,这会阻止子进程拥有比父进程更多的权限。他使用PR_SET_SECCOMP选择设置seccomp过滤器,不是root用户也可以使用,之后使用openat系统调用进行打开文件等操作。

父进程我设置了PTRACE_O_TRACESECCOMP 选项,当过滤器返回 SECCOMP_RET_TRACE 并将事件信号发送给跟踪器时,跟踪器将停止。此函数的另一个变化是我们不再需要设置 PTRACE_O_TRACESYSGOOD,因为我们被 seccomp 中断,而不是因为系统调用。

这里就很简单了获取到svc的信号后读取x8寄存器判断是否为openat的系统调用号,这里只对file_to_avoid进行了替换,看一下最终效果:
图片描述
可以看到不仅只对openat进行了监控也成功的将了第一次打开的文件
/data/local/tmp/tuzi.txt修改为了/data/local/tmp/tuzi1.txt。

demo地址 github
完结撒花!

proot

基于ptrace的Android系统调用跟踪&hook工具

SVC的TraceHook沙箱的实现&无痕Hook实现思路

ptrace を使用して seccomp による制限を回避してみる

ptrace(2) — Linux manual page

Seccomp and Seccomp-BPF

深入浅出 eBPF

read(),write(),_exit(),sigreturn()
read(),write(),_exit(),sigreturn()
#include <fcntl.h>
#include <stdio.h>
#include <unistd.h>
#include <sys/prctl.h>
#include <linux/seccomp.h>
 
void configure_seccomp() {
    printf("Configuring seccomp\n");
    prctl(PR_SET_SECCOMP, SECCOMP_MODE_STRICT);
}
int main(int argc, char* argv[]) {
    int infd, outfd;
    if (argc < 3) {
        printf("Usage:\n\t%s <input path> <output_path>\n", argv[0]);
        return -1;
    }
    printf("Starting test seccomp Y/N?");
    char c = getchar();
    if (c == 'y' || c == 'Y') configure_seccomp();
    printf("Opening '%s' for reading\n", argv[1]);
    if ((infd = open(argv[1], O_RDONLY)) > 0) {
        ssize_t read_bytes;
        char buffer[1024];
        printf("Opening '%s' for writing\n", argv[2]);
        if ((outfd = open(argv[2], O_WRONLY | O_CREAT, 0644)) > 0) {
            while ((read_bytes = read(infd, &buffer, 1024)) > 0)
                write(outfd, &buffer, (ssize_t)read_bytes);
        }
        close(infd);
        close(outfd);
    }
    printf("End!\n");
 
    return 0;
}
#include <fcntl.h>
#include <stdio.h>
#include <unistd.h>
#include <sys/prctl.h>
#include <linux/seccomp.h>
 
void configure_seccomp() {
    printf("Configuring seccomp\n");
    prctl(PR_SET_SECCOMP, SECCOMP_MODE_STRICT);
}
int main(int argc, char* argv[]) {
    int infd, outfd;
    if (argc < 3) {
        printf("Usage:\n\t%s <input path> <output_path>\n", argv[0]);
        return -1;
    }
    printf("Starting test seccomp Y/N?");
    char c = getchar();
    if (c == 'y' || c == 'Y') configure_seccomp();
    printf("Opening '%s' for reading\n", argv[1]);
    if ((infd = open(argv[1], O_RDONLY)) > 0) {
        ssize_t read_bytes;
        char buffer[1024];
        printf("Opening '%s' for writing\n", argv[2]);
        if ((outfd = open(argv[2], O_WRONLY | O_CREAT, 0644)) > 0) {
            while ((read_bytes = read(infd, &buffer, 1024)) > 0)
                write(outfd, &buffer, (ssize_t)read_bytes);
        }
        close(infd);
        close(outfd);
    }
    printf("End!\n");
 
    return 0;
}
 
 
 
简单指令集
    小型指令集
    所有的命令大小相一致
    实现过程简单、快速
只有分支向前指令
    程序是有向无环图(DAGs),没有循环
易于验证程序的有效性/安全性
    简单的指令集⇒可以验证操作码和参数
    可以检测死代码
    程序必须以 Return 结束
    BPF过滤器程序仅限于4096条指令
简单指令集
    小型指令集
    所有的命令大小相一致
    实现过程简单、快速
只有分支向前指令
    程序是有向无环图(DAGs),没有循环
易于验证程序的有效性/安全性
    简单的指令集⇒可以验证操作码和参数
    可以检测死代码
    程序必须以 Return 结束
    BPF过滤器程序仅限于4096条指令
Conditional JMP(条件判断跳转)
    当匹配条件为真,跳转到true指定位置
    当 匹配条件为假,跳转到false指定位置
    跳转偏移量最大255
JMP(直接跳转)
    跳转目标是指令偏移量
    跳转 偏移量最大255
Load(数据读取)
    读取程序参数
    读取指定的16位内存地址
Store(数据存储)
    保存数据到指定的16位内存地址中
支持的运算
    + - * / & | ^ >> << !
返回值
    SECCOMP_RET_ALLOW -  允许继续使用系统调用
    SECCOMP_RET_KILL - 终止系统调用
    SECCOMP_RET_ERRNO -  返回设置的errno值
    SECCOMP_RET_TRACE -  通知附加的ptrace(如果存在)
    SECCOMP_RET_TRAP - 往进程发送 SIGSYS信号
最多只能有4096条命令
不能出现循环
Conditional JMP(条件判断跳转)
    当匹配条件为真,跳转到true指定位置
    当 匹配条件为假,跳转到false指定位置
    跳转偏移量最大255
JMP(直接跳转)
    跳转目标是指令偏移量
    跳转 偏移量最大255
Load(数据读取)
    读取程序参数
    读取指定的16位内存地址
Store(数据存储)
    保存数据到指定的16位内存地址中
支持的运算
    + - * / & | ^ >> << !
返回值
    SECCOMP_RET_ALLOW -  允许继续使用系统调用
    SECCOMP_RET_KILL - 终止系统调用
    SECCOMP_RET_ERRNO -  返回设置的errno值
    SECCOMP_RET_TRACE -  通知附加的ptrace(如果存在)
    SECCOMP_RET_TRAP - 往进程发送 SIGSYS信号
最多只能有4096条命令
不能出现循环
/**
 * struct seccomp_data - the format the BPF program executes over.
 * @nr: the system call number
 * @arch: indicates system call convention as an AUDIT_ARCH_* value
 *        as defined in <linux/audit.h>.
 * @instruction_pointer: at the time of the system call.
 * @args: up to 6 system call arguments always stored as 64-bit values
 *        regardless of the architecture.
 */
struct seccomp_data {
    int nr;
    __u32 arch;
    __u64 instruction_pointer;
    __u64 args[6];
};
/**
 * struct seccomp_data - the format the BPF program executes over.
 * @nr: the system call number
 * @arch: indicates system call convention as an AUDIT_ARCH_* value
 *        as defined in <linux/audit.h>.
 * @instruction_pointer: at the time of the system call.
 * @args: up to 6 system call arguments always stored as 64-bit values
 *        regardless of the architecture.
 */
struct seccomp_data {
    int nr;
    __u32 arch;
    __u64 instruction_pointer;
    __u64 args[6];
};
#include <stdio.h>
#include <fcntl.h>
#include <unistd.h>
#include <stddef.h>
#include <sys/prctl.h>
#include <linux/seccomp.h>
#include <linux/filter.h>
#include <linux/unistd.h>
 
void configure_seccomp() {
  struct sock_filter filter [] = {
    BPF_STMT(BPF_LD | BPF_W | BPF_ABS, (offsetof(struct seccomp_data, nr))),
    BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, __NR_write, 0, 1),
    BPF_STMT(BPF_RET | BPF_K, SECCOMP_RET_ALLOW),
    BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, __NR_open, 0, 3),
    BPF_STMT(BPF_LD | BPF_W | BPF_ABS, (offsetof(struct seccomp_data, args[1]))),
    BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, O_RDONLY, 0, 1),
    BPF_STMT(BPF_RET | BPF_K, SECCOMP_RET_ALLOW),
    BPF_STMT(BPF_RET | BPF_K, SECCOMP_RET_KILL)
  };
  struct sock_fprog prog = {
       .len = (unsigned short)(sizeof(filter) / sizeof (filter[0])),
       .filter = filter,
  };
 
  printf("Configuring seccomp\n");
  prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0);
  prctl(PR_SET_SECCOMP, SECCOMP_MODE_FILTER, &prog);
}
 
int main(int argc, char* argv[]) {
  int infd, outfd;
  ssize_t read_bytes;
  char buffer[1024];
 
  if (argc < 3) {
    printf("Usage:\n\tdup_file <input path> <output_path>\n");
    return -1;
  }
  printf("Ducplicating file '%s' to '%s'\n", argv[1], argv[2]);
 
  configure_seccomp(); //配置seccomp
 
  printf("Opening '%s' for reading\n", argv[1]);
  if ((infd = open(argv[1], O_RDONLY)) > 0) {
    printf("Opening '%s' for writing\n", argv[2]);
    if ((outfd = open(argv[2], O_WRONLY | O_CREAT, 0644)) > 0) {
        while((read_bytes = read(infd, &buffer, 1024)) > 0)
          write(outfd, &buffer, (ssize_t)read_bytes);
    }
  }
  close(infd);
  close(outfd);
  return 0;
}
#include <stdio.h>
#include <fcntl.h>
#include <unistd.h>
#include <stddef.h>
#include <sys/prctl.h>
#include <linux/seccomp.h>
#include <linux/filter.h>
#include <linux/unistd.h>
 
void configure_seccomp() {
  struct sock_filter filter [] = {
    BPF_STMT(BPF_LD | BPF_W | BPF_ABS, (offsetof(struct seccomp_data, nr))),
    BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, __NR_write, 0, 1),
    BPF_STMT(BPF_RET | BPF_K, SECCOMP_RET_ALLOW),
    BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, __NR_open, 0, 3),
    BPF_STMT(BPF_LD | BPF_W | BPF_ABS, (offsetof(struct seccomp_data, args[1]))),
    BPF_JUMP(BPF_JMP | BPF_JEQ | BPF_K, O_RDONLY, 0, 1),
    BPF_STMT(BPF_RET | BPF_K, SECCOMP_RET_ALLOW),
    BPF_STMT(BPF_RET | BPF_K, SECCOMP_RET_KILL)
  };
  struct sock_fprog prog = {
       .len = (unsigned short)(sizeof(filter) / sizeof (filter[0])),
       .filter = filter,
  };
 
  printf("Configuring seccomp\n");
  prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0);
  prctl(PR_SET_SECCOMP, SECCOMP_MODE_FILTER, &prog);
}
 
int main(int argc, char* argv[]) {
  int infd, outfd;
  ssize_t read_bytes;
  char buffer[1024];
 
  if (argc < 3) {
    printf("Usage:\n\tdup_file <input path> <output_path>\n");
    return -1;
  }
  printf("Ducplicating file '%s' to '%s'\n", argv[1], argv[2]);
 
  configure_seccomp(); //配置seccomp
 
  printf("Opening '%s' for reading\n", argv[1]);
  if ((infd = open(argv[1], O_RDONLY)) > 0) {
    printf("Opening '%s' for writing\n", argv[2]);
    if ((outfd = open(argv[2], O_WRONLY | O_CREAT, 0644)) > 0) {
        while((read_bytes = read(infd, &buffer, 1024)) > 0)
          write(outfd, &buffer, (ssize_t)read_bytes);
    }
  }
  close(infd);
  close(outfd);
  return 0;
}
#include <stdio.h>
#include <stdlib.h>
#include <errno.h>
#include <unistd.h>
#include <ctype.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <sys/user.h>
#include <sys/signal.h>
#include <sys/wait.h>
#include <sys/ptrace.h>
#include <sys/fcntl.h>
#include <syscall.h>
 
 
void die (const char *msg)
{
  perror(msg);
  exit(errno);
}
 
void attack()
{
  int rc;
  syscall(SYS_getpid, SYS_mkdir, "dir", 0777);
}
 
int main()
{
  int pid;
  struct user_regs_struct regs;
  switch( (pid = fork()) ) {
    case -1:  die("Failed fork");
    case 0:
 
              ptrace(PTRACE_TRACEME, 0, NULL, NULL);
              kill(getpid(), SIGSTOP);
              attack();
              return 0;
  }
 
  waitpid(pid, 0, 0);
 
  while(1) {
    int st;
 
    ptrace(PTRACE_SYSCALL, pid, NULL, NULL);
    if (waitpid(pid, &st, __WALL) == -1) {
      break;
    }
 
    if (!(WIFSTOPPED(st) && WSTOPSIG(st) == SIGTRAP)) {
      break;
    }
 
    ptrace(PTRACE_GETREGS, pid, NULL, &regs);
    printf("orig_rax = %lld\n", regs.orig_rax);
 
 
    if (regs.rax != -ENOSYS) {
      continue;
    }
 
 
    if (regs.orig_rax == SYS_getpid) {
      regs.orig_rax = regs.rdi;
      regs.rdi = regs.rsi;
      regs.rsi = regs.rdx;
      regs.rdx = regs.r10;
      regs.r10 = regs.r8;
      regs.r8 = regs.r9;
      regs.r9 = 0;
      ptrace(PTRACE_SETREGS, pid, NULL, &regs);
    }
  }
  return 0;
}
#include <stdio.h>
#include <stdlib.h>
#include <errno.h>
#include <unistd.h>
#include <ctype.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <sys/user.h>
#include <sys/signal.h>
#include <sys/wait.h>
#include <sys/ptrace.h>
#include <sys/fcntl.h>
#include <syscall.h>
 
 

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2023-1-11 14:54 被王麻子本人编辑 ,原因:
收藏
免费 34
支持
分享
打赏 + 20.00雪花
万里星河
守哥哥
打赏次数 2 雪花 + 20.00
 
赞赏  万里星河   +10.00 2023/01/08 瑕不掩瑜 感谢分享
赞赏  守哥哥   +10.00 2022/12/13 我也想要源码
最新回复 (86)
Melanthe
雪    币: 107
活跃值: (456)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
tql
2022-12-13 12:58
0
seeeseee
雪    币: 507
活跃值: (1742)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
tql
2022-12-13 15:33
0
mb_ozmrnffd
雪    币: 217
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
4
tql 能发一下全部源码吗
2022-12-13 16:03
0
王麻子本人
雪    币: 838
活跃值: (3995)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
5
mb_ozmrnffd tql 能发一下全部源码吗
发了
2022-12-13 16:19
0
一乐
雪    币: 15
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
6
牛逼
2022-12-13 16:41
0
mb_ozmrnffd
雪    币: 217
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
7
编译报arm_seccomp.h:3:47: error: unknown type name 'user_pt_regs'
2022-12-13 16:47
0
王麻子本人
雪    币: 838
活跃值: (3995)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
8
mb_ozmrnffd 编译报arm_seccomp.h:3:47: error: unknown type name 'user_pt_regs'

user_pt_regs结构体在asm/ptrace应该没问题的吧。

最后于 2022-12-13 16:52 被王麻子本人编辑 ,原因:
2022-12-13 16:51
0
你瞒我瞒
雪    币: 2334
活跃值: (10386)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
窝草看不懂啊
2022-12-13 17:04
0
Ssssone
雪    币: 986
活跃值: (6167)
能力值: ( LV7,RANK:115 )
在线值:
发帖
回帖
粉丝
私信
10
我那个项目太简陋了,直接去看proot吧,ptrace相关api都封装好了,重定向的参数在栈上动态分配,少很多限制
2022-12-13 19:52
0
王麻子本人
雪    币: 838
活跃值: (3995)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
11
Ssssone 我那个项目太简陋了,直接去看proot吧,ptrace相关api都封装好了,重定向的参数在栈上动态分配,少很多限制

我是先看的你的项目然后结合seccopm打的基础在去弄的proot,目前这个是放了个简单的demo出来给大家一个思路,你的那个项目还是给了我很大启发的。

最后于 2022-12-13 21:23 被王麻子本人编辑 ,原因:
2022-12-13 21:23
0
恋一世的爱
雪    币: 5
活跃值: (1045)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
dwmo源码好像有问题,替换不成功,putdata后open error错误,源文件跟重定向文件都是存在的,路径也没错。另外while死循环,执行不到WIFEXITED(status),这个break语句始终没进来
2022-12-14 06:36
0
恋一世的爱
雪    币: 5
活跃值: (1045)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
demo源码好像有问题,替换不成功,putdata后open error错误,源文件跟重定向文件都是存在的,路径也没错。另外while死循环,执行不到WIFEXITED(status),这个break语句始终没进来
2022-12-14 06:37
0
恋一世的爱
雪    币: 5
活跃值: (1045)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
用打包注入方法测试的
2022-12-14 06:38
0
全都是HOOK
雪    币: 1261
活跃值: (1473)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
执行第二个prctl函数返回结果错误, 报: when setting seccomp filter: Invalid argument, 
请问这个怎么解决?
2022-12-14 09:52
0
王麻子本人
雪    币: 838
活跃值: (3995)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
16
mb_czxkzsmv 执行第二个prctl函数返回结果错误, 报: when setting seccomp filter: Invalid argument, 请问这个怎么解决?

我重新上传了一下发的时候发错了好像,BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, __NR_openat, 0, 2),改成BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, __NR_openat, 0, 1)即可

最后于 2022-12-14 10:15 被王麻子本人编辑 ,原因:
2022-12-14 10:11
0
王麻子本人
雪    币: 838
活跃值: (3995)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
17
恋一世的爱 demo源码好像有问题,替换不成功,putdata后open error错误,源文件跟重定向文件都是存在的,路径也没错。另外while死循环,执行不到WIFEXITED(status),这个break ...
啊?WIFEXITED?
2022-12-14 10:13
0
恋一世的爱
雪    币: 5
活跃值: (1045)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
王麻子本人 啊?WIFEXITED?
是的,会有这2个问题,我昨天也改成了BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, __NR_openat, 0, 1),也还是有我说的问题
2022-12-14 11:42
0
王麻子本人
雪    币: 838
活跃值: (3995)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
19
恋一世的爱 是的,会有这2个问题,我昨天也改成了BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, __NR_openat, 0, 1),也还是有我说的问题
我发新的了我这边是没问题的方便截图看一下吗
2022-12-14 12:13
0
恋一世的爱
雪    币: 5
活跃值: (1045)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
20

比如我要将1.txt重定向为2.txt


2022-12-14 13:35
0
王麻子本人
雪    币: 838
活跃值: (3995)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
21
恋一世的爱 比如我要将1.txt重定向为2.txt

你这个拦截是拦截成功了,修改参数也没啥问题,我demo写的非常简陋你可以试试换个目录,替换字符串你可以看到这个demo也是十分简陋看ptrace文档可以知道PTRACE_POKEDATA是

将字数据复制到被跟踪者的地址addr

这个在字符串长度相等和一些情况是可以正常运行的但是往往不能正常运行的,可以参考proot把重定向的参数在栈上动态分配

WIFEXITED的话就是的具体处理我这个demo没做只是子程序结束就结束循环而已。

最后于 2022-12-14 15:31 被王麻子本人编辑 ,原因:
2022-12-14 15:17
0
全都是HOOK
雪    币: 1261
活跃值: (1473)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
大佬, 请教一下, 为什么循环里面使用 
ptrace(PTRACE_CONT, child, 0, 0); 
而不是
ptrace(PTRACE_SYSCALL, child, 0, 0); 呢? 
2022-12-14 16:04
0
王麻子本人
雪    币: 838
活跃值: (3995)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
23
mb_czxkzsmv 大佬, 请教一下, 为什么循环里面使用 ptrace(PTRACE_CONT, child, 0, 0); 而不是 ptrace(PTRACE_SYSCALL, child, 0, 0); ...
PTRACE_CONT是重新启动子进程让子进程继续运行下去。PTRACE_SYSCALL也是启动跟踪的子进程但是它只允许子进程执行一条系统调用后暂停。如果单纯使用ptrace去处理svc才需要使用PTRACE_SYSCALL,我们使用的是seccomp+ptrace,系统调用由seccomp进行过滤。
2022-12-14 16:16
0
全都是HOOK
雪    币: 1261
活跃值: (1473)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
24
王麻子本人 PTRACE_CONT是重新启动子进程让子进程继续运行下去。PTRACE_SYSCALL也是启动跟踪的子进程但是它只允许子进程执行一条系统调用后暂停。如果单纯使用ptrace去处理svc才需要使用PT ...
感谢解答, 豁然开朗!

如果要同时拦截多个系统调用 bpf 规则咋写啊, 我尝试添加了 __NR_write, __NR_openat , 虽然可以正常运行, 但是只拦截到了其中一个调用
2022-12-14 17:24
0
王麻子本人
雪    币: 838
活跃值: (3995)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
25
mb_czxkzsmv 感谢解答, 豁然开朗! 如果要同时拦截多个系统调用 bpf 规则咋写啊, 我尝试添加了 __NR_write, __NR_openat , 虽然可以正常运行, 但是只拦截到了其中一个调用
比较呆的写法是这样:添加一条jump指令
BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, __NR_openat, 0, 2),
BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K, __NR_read, 0, 1),
如果你需要过滤的系统调用比较多可以把每个调用的返回值放在一个数组里面
2022-12-14 18:18
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//