۰۴-مرداد-۱۳۹۶, ۰۴:۱۷:۳۰
سلام،
من از طریق system call table سیستم کال __NR_write هوک کردم و تابع ای که جایگزین کردم فقط یه printk معمولی هست وقتی ماژولمو اجرا میکنم، dmesg که میخونم پشت سر هم مثل یه لوپ تابع جایگزینم که یه printk هست اجرا میشه:
[attachment=13908]
این یعنی اینکه همیشه سیستم کال __NR_write در حال صدا زدن هست ؟؟؟؟؟؟؟؟ اکثر سیستم کال ها به همین صورت هستند؟
خب اگه قرار باشه انقدر تکرار بشه مثلا بدافزارها چه تابعی جایگزین میکنن ؟ که لازمه این همه تکرار بشه؟
من از طریق system call table سیستم کال __NR_write هوک کردم و تابع ای که جایگزین کردم فقط یه printk معمولی هست وقتی ماژولمو اجرا میکنم، dmesg که میخونم پشت سر هم مثل یه لوپ تابع جایگزینم که یه printk هست اجرا میشه:
[attachment=13908]
این یعنی اینکه همیشه سیستم کال __NR_write در حال صدا زدن هست ؟؟؟؟؟؟؟؟ اکثر سیستم کال ها به همین صورت هستند؟
خب اگه قرار باشه انقدر تکرار بشه مثلا بدافزارها چه تابعی جایگزین میکنن ؟ که لازمه این همه تکرار بشه؟
