通过Netlink方式来实时获取ptrace事件一般ptrace注入过程时间非常短,而遍历/proc的时间会比较长,往往会错过那些快速注入的恶意进程。而把扫描频次调高,又会引起对系统性能的占用。那么有...
首届中国eBPF大会分享 | 基于eBPF的内核漏洞检测实践
随着智能化、数字化、云化的飞速发展,全球基于Linux系统的设备数以百亿计,而这些设备的安全保障主要取决于主线内核的安全性和健壮性。 传统的内核安全存在周期长、效率低以及版本适配的问题,有没...
SVC的TraceHook沙箱的实现&无痕Hook实现思路
本文为看雪论坛精华文章看雪论坛作者ID:珍惜Any一前言二年前因为工作需要,自己尝试开发过一套沙盒,普通的Linux IO 函数可以通过Hook Libc 去实现,比如Hook openat 等。大部...
Tracee:如何使用eBPF来追踪容器和系统事件
TraceeTracee是一款易于使用的轻量级容器和系统追踪工具,在该工具的帮助下,研究人员可以实时监控系统调用和其他系统事件。Tracee的独特之处就在于,它只会追踪新创建的进程和容器,也就是Tra...
Linux ptrace详细分析系列(一)
本文为看雪论坛优秀文章看雪论坛作者ID:有毒备注:文章中使用的Linux内核源码版本为Linux 5.9,使用的Linux版本为Linux ubuntu 5.4.0-65-generic一、简述ptr...
Linux ‘PTRACE_TRACEME’提权漏洞(CVE-2019-13272)分析
漏洞背景ptrace是linux的进程调试syscall,我们可以使用它在一个进程(tracer)中追踪调试另一个进程(tracee)。PTRACE_TRACEME被tracee使用,作用...