Question

在linux内核如何改写内核函数,来监控一个进程对文件做了哪些的操作，并把具体的操作打印出来。

比如:在用户区运行了一个关于恶意代码的程序（会产生一个进程），通过改写内核函数可以达到监控它（进程）对关键文件做了哪些的操做，然后显示给用户来看，来做分析使用，判断是否这段程序（进程）是否是恶意的？跪求，急，急，急！
求助：在Linux下编写一段代码，监控某个进程对文件操作，输出：进程pid：进程ppid：访问的文件名filename：文件明的uid：对文件的操作 op：读/写 或 文件夹：删除/创建.

Answer 1

如果只是监视普通文件操作，一般情况下不需要修改内核。
运行“strace -e file -o log.txt 可执行文件名" 即可。对已经运行的程序，用strace -p pid。
最创建子进程的，加-f参数。具体man strace。

追问

我这里想要解决的问题是系统里面的设置的一些关键文件，把监控模块加载到在内核中，来编一个监控测试程序来监控外来的进程对这些关键文件进行了哪些的操作，以日志的方式显示出来。

追答

内核已经有了inotify, dnotify, fanotify等。可以在用户空间做，具体man inotify。

追问

你好，你能帮忙细说下或编写个用户空间的调用inotify的例子吗？例如：一个外界的进程（PID）想来访问/etc/paswwd这个文件，当这个进程不被允许访问这个文件的时候就禁止掉该进程，用日志或显示的方式用户可以看到，该进程对这个文件具体要做什么显示出来（如果允许访问也记录下来）。方便用户来分析外来进程是好是坏。

追答

inotify不支持pid显示，用fanotify吧。fanotify可显示pid, 可允许或禁止进程对文件的访问，几乎是为你量身定制的。 谷歌"fanotify-example"前两条的例子经测试都可以运行，git的例子更完整。

追问

你说的那个怎么使用，可以得到下列格式的吗？输出：进程pid：进程ppid：访问的文件名filename：文件明的uid：对文件的操作 op：读/写 或 文件夹：删除/创建.

追答

fanotify的使用看fanotify-example, git的例子已经很完整了，参数看linux/fanotify.h，实现看内核fs/notify/fanotify。

pid: 可以
ppid: 可以解析/proc/pid/status或stat, 或调用ps -p pid -o "ppid=".
访问的文件名: 可以得到fd, 可readlink /proc/self/fd/FD得到。见例子。
文件名的uid: 可用stat得到.
读/写 文件或文件夹： 可以通过open和close(writable) close判断
删除/创建：不支持。

inotify文件操作监视功能强大，但默认不支持pid和禁止访问功能.

fanotify支持pid, 但是文件监视功能很粗糙。可以使用两者实现部分你要的功能，或者patch其中一个。

如果同时使用两者，建议：

文件读写删除创建，用inotify。
其他功能：用fanotify。不过这样做无法得到删除和创建的pid.
要完整支持所有功能，需要patch其中一个。

fanotify看前面说的example
inotify看inotify-tools源代码

Answer 2

貌似很困难，修改系统调用，或许可以帮助监视到进程做了什么，不过工作量挺大的。还不如直接反汇编看看，恶意代码做些什么工作。纯属个人意见，但是没有什么更好建议，想不出。呵呵。

追问

现在主要是不明白修改系统内核中的哪个调用表来进行替换，想用LKM进行来进行测试。只是想要一个监控内核的文件的模块程序。

Answer 3

感觉Linux系统这方面不一般的。

Answer 4

kkkkkkjjhimklll