[原创]seccomp-bpf+ptrace实现修改系统调用原理（附demo）-Android安全-看雪-安全社区|安全招聘|kanxue.com

最新回复 (86) ◀ 1 2 3 4
万里星河雪币： 62 活跃值： (545) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 506 粉丝 3 关注私信	万里星河 2023-1-8 15:30 76 楼 0 不用测了手机问题我换了台小米8 安卓10的可以跑以前测的一加五安卓9 死活有问题
万里星河雪币： 62 活跃值： (545) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 506 粉丝 3 关注私信	万里星河 2023-1-8 15:56 77 楼 0 王麻子本人已经发了，在有什么需求也别提了，我没时间教你基础知识了还是有问题目前你所实现的效果我换个手机后都可以复现但放在Application的attachBaseContext里还是不行毕竟IO重定向还是需要在这里开始来来来有本事就让我无话可说
万里星河雪币： 62 活跃值： (545) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 506 粉丝 3 关注私信	万里星河 2023-1-8 15:57 78 楼 0 看来换个系统问题还是在只不过暴露时间有区别而已最后于 2023-1-8 15:58 被万里星河编辑，原因：
恋一世的爱雪币： 5 活跃值： (985) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 30 粉丝 1 关注私信	恋一世的爱 2023-1-8 16:14 79 楼 0 万里星河看来换个系统 问题还是在 只不过暴露时间有区别而已大哥，你放个demo我帮你看看吧
万里星河雪币： 62 活跃值： (545) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 506 粉丝 3 关注私信	万里星河 2023-1-8 16:48 80 楼 0 安卓运行问题最后于 2023-1-16 00:03 被万里星河编辑，原因：
SharkFall 雪币： 2 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 2 关注私信	SharkFall 2023-4-9 15:18 81 楼 0 tql 最后于 2023-4-9 16:17 被SharkFall编辑，原因：
wx_嗨雪币： 224 活跃值： (1763) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 31 粉丝 6 关注私信	wx_嗨 2023-5-29 13:25 82 楼 0 大佬问个问题，按照您给的代码移植安卓上，监听和重定向openat都实现了，但是切应用切回来app就卡死未响应了，这是什么问题导致的，大佬你有遇到过么
mb_tincyevu 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_tincyevu 2023-11-12 23:07 83 楼 0 wx_嗨大佬问个问题，按照您给的代码移植安卓上，监听和重定向openat都实现了，但是切应用切回来app就卡死未响应了，这是什么问题导致的，大佬你有遇到过么大佬，我也遇到了，你这边有解决么？
sanqiu 雪币： 89 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 38 粉丝 4 关注私信	sanqiu 2024-1-9 09:18 84 楼 0 只有ptrace不用seccomp运行是不是会直接卡死
mb_ihwxwvcg 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_ihwxwvcg 2024-1-23 15:16 85 楼 0 老哥，“在这种情况下，seccomp-BPF 程序将允许使用 O_RDONLY 参数打开第一个调用 , 但是在使用 O_WRONLY \| O_CREAT 参数调用 open 时终止程序。”这个例子是不是不太对，你给的图里头也不满足你说的这个要求。我查了下manpage，自从glibc2.26，调用open最后都是调用openat，所以15行需要替换成“BPF_JUMP(BPF_JMP \| BPF_JEQ \| BPF_K, __NR_openat, 0, 3),”16行需要替换成“BPF_STMT(BPF_LD \| BPF_W \| BPF_ABS, (offsetof(struct seccomp_data, args[2]))),” 最后于 2024-1-23 15:18 被mb_ihwxwvcg编辑，原因：
wx_kx24508 雪币： 0 活跃值： (116) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 1 关注私信	wx_kx24508 2024-1-24 14:19 86 楼 0 有个问题是一般应该监控主进程吧不应该子进程调试父进程么这个父进程调试子进程那怎么监控父进程呢
luole 雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	luole 2024-2-27 17:50 87 楼 0 大佬这个问题解决了没
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

万里星河	+10.00	2023/01/08	瑕不掩瑜感谢分享
守哥哥	+10.00	2022/12/13	我也想要源码

最新回复 (86) ◀ 1 2 3 4
万里星河雪币： 62 活跃值： (545) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 506 粉丝 3 关注私信	万里星河 2023-1-8 15:30 76 楼 0 不用测了手机问题我换了台小米8 安卓10的可以跑以前测的一加五安卓9 死活有问题
万里星河雪币： 62 活跃值： (545) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 506 粉丝 3 关注私信	万里星河 2023-1-8 15:56 77 楼 0 王麻子本人已经发了，在有什么需求也别提了，我没时间教你基础知识了还是有问题目前你所实现的效果我换个手机后都可以复现但放在Application的attachBaseContext里还是不行毕竟IO重定向还是需要在这里开始来来来有本事就让我无话可说
万里星河雪币： 62 活跃值： (545) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 506 粉丝 3 关注私信	万里星河 2023-1-8 15:57 78 楼 0 看来换个系统问题还是在只不过暴露时间有区别而已最后于 2023-1-8 15:58 被万里星河编辑，原因：
恋一世的爱雪币： 5 活跃值： (985) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 30 粉丝 1 关注私信	恋一世的爱 2023-1-8 16:14 79 楼 0 万里星河看来换个系统 问题还是在 只不过暴露时间有区别而已大哥，你放个demo我帮你看看吧
万里星河雪币： 62 活跃值： (545) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 506 粉丝 3 关注私信	万里星河 2023-1-8 16:48 80 楼 0 安卓运行问题最后于 2023-1-16 00:03 被万里星河编辑，原因：
SharkFall 雪币： 2 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 2 关注私信	SharkFall 2023-4-9 15:18 81 楼 0 tql 最后于 2023-4-9 16:17 被SharkFall编辑，原因：
wx_嗨雪币： 224 活跃值： (1763) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 31 粉丝 6 关注私信	wx_嗨 2023-5-29 13:25 82 楼 0 大佬问个问题，按照您给的代码移植安卓上，监听和重定向openat都实现了，但是切应用切回来app就卡死未响应了，这是什么问题导致的，大佬你有遇到过么
mb_tincyevu 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_tincyevu 2023-11-12 23:07 83 楼 0 wx_嗨大佬问个问题，按照您给的代码移植安卓上，监听和重定向openat都实现了，但是切应用切回来app就卡死未响应了，这是什么问题导致的，大佬你有遇到过么大佬，我也遇到了，你这边有解决么？
sanqiu 雪币： 89 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 38 粉丝 4 关注私信	sanqiu 2024-1-9 09:18 84 楼 0 只有ptrace不用seccomp运行是不是会直接卡死
mb_ihwxwvcg 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_ihwxwvcg 2024-1-23 15:16 85 楼 0 老哥，“在这种情况下，seccomp-BPF 程序将允许使用 O_RDONLY 参数打开第一个调用 , 但是在使用 O_WRONLY \| O_CREAT 参数调用 open 时终止程序。”这个例子是不是不太对，你给的图里头也不满足你说的这个要求。我查了下manpage，自从glibc2.26，调用open最后都是调用openat，所以15行需要替换成“BPF_JUMP(BPF_JMP \| BPF_JEQ \| BPF_K, __NR_openat, 0, 3),”16行需要替换成“BPF_STMT(BPF_LD \| BPF_W \| BPF_ABS, (offsetof(struct seccomp_data, args[2]))),” 最后于 2024-1-23 15:18 被mb_ihwxwvcg编辑，原因：
wx_kx24508 雪币： 0 活跃值： (116) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 1 关注私信	wx_kx24508 2024-1-24 14:19 86 楼 0 有个问题是一般应该监控主进程吧不应该子进程调试父进程么这个父进程调试子进程那怎么监控父进程呢
luole 雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	luole 2024-2-27 17:50 87 楼 0 大佬这个问题解决了没
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复