[سوال] اجرای پی در پی تابع __NR_write و مزیت هوک

[nImaarek]

سلام،
من از طریق system call table سیستم کال __NR_write هوک کردم و تابع ای که جایگزین کردم فقط یه printk معمولی هست وقتی ماژولمو اجرا میکنم، dmesg که میخونم پشت سر هم مثل یه لوپ تابع جایگزینم که یه printk هست اجرا میشه:

   

این یعنی اینکه همیشه سیستم کال __NR_write در حال صدا زدن هست ؟؟؟؟؟؟؟؟ اکثر سیستم کال ها به همین صورت هستند؟
خب اگه قرار باشه انقدر تکرار بشه مثلا بدافزارها چه تابعی جایگزین میکنن ؟ که لازمه این همه تکرار بشه؟

[babyy]

سلام
من تست نکردم, و جوابش رو نمیدونم ولی احتمال میدم چون خود dmesg داره print میگیره شاید __NR_write رو فعال میکنه که باعث این مشکل میشه و ... 

ولی کد رو بذارید فکر میکنم بهتر میشه تحقیقات انحجام داد

وبا اینکه در stack over flow بپرسید،

[nImaarek]

از اینجا خوندم:

کد:

https://tnichols.org/2015/10/19/Hooking-the-Linux-System-Call-Table/

من فقط میخوام بدونم بدافزارها چطوری از هوک کردن استفاده میکنن؟ یعنی دقیقا چیکار میکنن یا مثلا چطوری وقتی ls میگیری یه سری فایل نشون نمیده.
مگه با هوک کردن این کارو انجام نمیدن؟

وبا اینکه در stack over flow بپرسید،

راستش تو این سایت نیمتونم تاپیک بزنم یه قالب خاصی داره که متوجهش نمیشم

[babyy]

راستش تو این سایت نیمتونم تاپیک بزنم یه قالب خاصی داره که متوجهش نمیشم

فرمت خاص نمیخواد؛ فقط از نظر کیفیت و قواعد نگارشی و .. چک میکنه
بنظرم تلاش کن اونجا بتونی پست بزنی و بپرسی؛


جوابش رو هم بگو بهمون