2

我正在使用seccomp过滤器来限制进程进行的系统调用。最多使用系统调用白名单来允许和禁止系统调用是可以理解的。我坚持由规则ptrace产生的事件的概念。seccomp例如,我可以禁止open但我想ptrace在系统调用时生成事件,open以便我可以确定进程是否可以打开该文件。我的具体问题是如何捕获 seccomp 生成的 ptrace 事件?任何帮助或参考将是一个很大的祝福。

我以卑微的身份搜索了谷歌,但没有找到任何帮助和运行示例。

4

1 回答 1

0

您需要有一个单独的程序来跟踪劣质。该示踪剂应调用

    ptrace(PTRACE_SETOPTIONS, tracee_pid, 0, PTRACE_O_TRACESECCOMP);

请求通知,并致电

    waitpid(tracee_pid, &status, __WALL);

被通知。当waitpid返回时,分析status和检索通知通过

    unsigned long data;
    ptrace(PTRACE_GETEVENTMSG, tracee_pid, 0, &data);
于 2016-02-03T19:53:39.510 回答