امتیاز موضوع:
  • 1 رأی - میانگین امتیازات: 4
  • 1
  • 2
  • 3
  • 4
  • 5
اجرای پی در پی تابع __NR_write و مزیت هوک
نویسنده پیام
nImaarek آفلاین
badtrip
****

ارسال‌ها: 140
موضوع‌ها: 60
تاریخ عضویت: مهر ۱۳۸۹

تشکرها : 307
( 311 تشکر در 105 ارسال )
ارسال: #1
اجرای پی در پی تابع __NR_write و مزیت هوک
سلام،
من از طریق system call table سیستم کال __NR_write هوک کردم و تابع ای که جایگزین کردم فقط یه printk معمولی هست وقتی ماژولمو اجرا میکنم، dmesg که میخونم پشت سر هم مثل یه لوپ تابع جایگزینم که یه printk هست اجرا میشه:

   

این یعنی اینکه همیشه سیستم کال __NR_write در حال صدا زدن هست ؟؟؟؟؟؟؟؟ اکثر سیستم کال ها به همین صورت هستند؟
خب اگه قرار باشه انقدر تکرار بشه مثلا بدافزارها چه تابعی جایگزین میکنن ؟ که لازمه این همه تکرار بشه؟
۰۴-مرداد-۱۳۹۶, ۰۴:۱۷:۳۰
وب سایت ارسال‌ها
پاسخ
babyy آفلاین
بازنشسته
*****

ارسال‌ها: 3,095
موضوع‌ها: 141
تاریخ عضویت: مرداد ۱۳۸۷

تشکرها : 35081
( 26083 تشکر در 9068 ارسال )
ارسال: #2
RE: اجرای پی در پی تابع __NR_write و مزیت هوک
سلام
من تست نکردم, و جوابش رو نمیدونم ولی احتمال میدم چون خود dmesg داره print میگیره شاید __NR_write رو فعال میکنه که باعث این مشکل میشه و ... 

ولی کد رو بذارید فکر میکنم بهتر میشه تحقیقات انحجام داد

وبا اینکه در stack over flow بپرسید،
۰۴-مرداد-۱۳۹۶, ۱۱:۳۵:۵۶
وب سایت ارسال‌ها
پاسخ
تشکر شده توسط : nImaarek, 1نفر
nImaarek آفلاین
badtrip
****

ارسال‌ها: 140
موضوع‌ها: 60
تاریخ عضویت: مهر ۱۳۸۹

تشکرها : 307
( 311 تشکر در 105 ارسال )
ارسال: #3
RE: اجرای پی در پی تابع __NR_write و مزیت هوک
از اینجا خوندم:
کد:
https://tnichols.org/2015/10/19/Hooking-the-Linux-System-Call-Table/

من فقط میخوام بدونم بدافزارها چطوری از هوک کردن استفاده میکنن؟ یعنی دقیقا چیکار میکنن یا مثلا چطوری وقتی ls میگیری یه سری فایل نشون نمیده.
مگه با هوک کردن این کارو انجام نمیدن؟


نقل قول: وبا اینکه در stack over flow بپرسید،


راستش تو این سایت نیمتونم تاپیک بزنم یه قالب خاصی داره که متوجهش نمیشم
۰۴-مرداد-۱۳۹۶, ۱۵:۱۹:۵۱
وب سایت ارسال‌ها
پاسخ
babyy آفلاین
بازنشسته
*****

ارسال‌ها: 3,095
موضوع‌ها: 141
تاریخ عضویت: مرداد ۱۳۸۷

تشکرها : 35081
( 26083 تشکر در 9068 ارسال )
ارسال: #4
RE: اجرای پی در پی تابع __NR_write و مزیت هوک
نقل قول: راستش تو این سایت نیمتونم تاپیک بزنم یه قالب خاصی داره که متوجهش نمیشم

فرمت خاص نمیخواد؛ فقط از نظر کیفیت و قواعد نگارشی و .. چک میکنه
بنظرم تلاش کن اونجا بتونی پست بزنی و بپرسی؛


خنده بلد − بهینه شده برای ورژن جدید خنده بلد − بهینه شده برای ورژن جدید جوابش رو هم بگو بهمون
۰۴-مرداد-۱۳۹۶, ۲۰:۰۶:۵۴
وب سایت ارسال‌ها
پاسخ
تشکر شده توسط : 1نفر, nImaarek, Ghoghnus


موضوعات مرتبط با این موضوع...
موضوع نویسنده پاسخ بازدید آخرین ارسال
  اجرای ویروس ؟؟؟ کمک ! saeedvir 5 3,515 ۲۰-آبان-۱۳۸۸, ۲۰:۱۴:۲۸
آخرین ارسال: lord_viper
  اجرای خودکار ویروس بدون اجازه کاربر saeedsmk 12 9,621 ۲۸-شهریور-۱۳۸۷, ۱۹:۴۴:۴۲
آخرین ارسال: saeedsmk

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان

صفحه‌ی تماس | IranVig | بازگشت به بالا | | بایگانی | پیوند سایتی RSS