{"id":316643,"date":"2021-01-20T09:00:46","date_gmt":"2021-01-20T09:00:46","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=316643"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=316643","title":{"rendered":"\u041f\u0435\u0440\u0435\u0445\u0432\u0430\u0442 \u0438 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u0432 \u0444\u0430\u0439\u043b\u043e\u0432\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u0435 Linux"},"content":{"rendered":"\n
\n

\u0412\u0432\u0435\u0434\u0435\u043d\u0438\u0435<\/h3>\n

\u0412 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0435\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 <\/a>\u043c\u044b \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0435\u043b\u0438 \u0441\u0431\u043e\u0440\u043a\u0443 \u0438 \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0443 \u043f\u0430\u043a\u0435\u0442\u0430 \u043d\u0430 Linux \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u0445, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0443\u043f\u043e\u043c\u044f\u043d\u0443\u043b\u0438 \u043f\u0440\u043e Linux Kernel Module (LKM) \u0438 \u043e\u0431\u0435\u0449\u0430\u043b\u0438 \u0440\u0430\u0441\u043a\u0440\u044b\u0442\u044c \u043f\u043e\u0437\u0434\u043d\u0435\u0435 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e\u0441\u0442\u0438 \u043e \u043f\u0443\u0442\u0438 \u043a \u043d\u0435\u043c\u0443 \u0438 \u0435\u0433\u043e \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u0438. \u041d\u0443 \u0447\u0442\u043e \u0436, \u043d\u0430\u0441\u0442\u0430\u043b\u043e \u0435\u0433\u043e \u0432\u0440\u0435\u043c\u044f. LKM \u2013 \u043c\u044b \u0432\u044b\u0431\u0438\u0440\u0430\u0435\u043c \u0442\u0435\u0431\u044f.<\/p>\n

\u041d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e\u0441\u0442\u044c \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438<\/h3>\n

«Windows \u0434\u0440\u0430\u0439\u0432\u0435\u0440 \u043c\u044b \u0437\u0430\u043c\u0435\u043d\u0438\u043b\u0438 \u043d\u0430 Linux Kernel Module LKM\u2026» \u0438\u0442\u0430\u043a, \u0432\u0435\u0440\u043d\u0451\u043c\u0441\u044f \u043c\u044b\u0441\u043b\u0435\u043d\u043d\u043e \u043a \u0441\u0430\u043c\u043e\u043c\u0443 \u043d\u0430\u0447\u0430\u043b\u0443 \u043f\u0443\u0442\u0438. \u041c\u044b \u0438\u043c\u0435\u0435\u043c Windows \u0434\u0440\u0430\u0439\u0432\u0435\u0440, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u0435\u0442 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u043d\u0438\u0435 \u0438 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442 \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u044f \u043a \u0444\u0430\u0439\u043b\u0443. \u041a\u0430\u043a \u0435\u0433\u043e \u043f\u0435\u0440\u0435\u043d\u0435\u0441\u0442\u0438 \u0438\u043b\u0438 \u0447\u0435\u043c \u0437\u0430\u043c\u0435\u043d\u0438\u0442\u044c \u0432 Linux \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u0445? \u041f\u043e\u043a\u043e\u043f\u0430\u0432\u0448\u0438\u0441\u044c \u0432 \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u0435<\/a>, \u043f\u043e\u0447\u0438\u0442\u0430\u0432 \u043f\u0440\u043e \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442<\/a> \u0438 \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044e \u043f\u043e\u0434\u043e\u0431\u043d\u044b\u0445 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0439 \u0432 Linux<\/a> \u2013 \u043c\u044b \u043f\u043e\u043d\u044f\u043b\u0438, \u0447\u0442\u043e \u0437\u0430\u0434\u0430\u0447\u0430 \u0430\u0431\u0441\u043e\u043b\u044e\u0442\u043d\u043e \u043d\u0435\u0442\u0440\u0438\u0432\u0438\u0430\u043b\u044c\u043d\u0430\u044f, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0430\u044f \u043a\u0443\u0447\u0443 \u043f\u043e\u0434\u0432\u043e\u0434\u043d\u044b\u0445 \u043a\u0430\u043c\u043d\u0435\u0439.<\/p>\n

Inotify<\/p>\n

<\/figcaption><\/figure>\n

\u0417\u0430\u043a\u0438\u043d\u0443\u0432 \u0443\u0434\u043e\u0447\u043a\u0438 \u043d\u0430 \u043f\u0430\u0440\u0443 \u0444\u043e\u0440\u0443\u043c\u043e\u0432, \u043f\u043e\u0441\u043e\u0432\u0435\u0442\u043e\u0432\u0430\u0432\u0448\u0438\u0441\u044c \u0441 \u043a\u043e\u043b\u043b\u0435\u0433\u0430\u043c\u0438, \u0431\u044b\u043b\u043e \u043f\u0440\u0438\u043d\u044f\u0442\u043e \u0440\u0435\u0448\u0435\u043d\u0438\u0435 \u00ab\u043a\u043e\u043f\u0430\u0442\u044c\u00bb \u0432 \u0441\u0442\u043e\u0440\u043e\u043d\u0443 Inotify<\/a>. Inotify \u2013 \u0444\u0430\u0439\u043b\u043e\u0432\u044b\u0439 \u043c\u043e\u043d\u0438\u0442\u043e\u0440, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043b\u043e\u0433\u0438\u0440\u0443\u0435\u0442 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0435 \u0443\u0436\u0435 \u043f\u043e\u0441\u043b\u0435 \u0442\u043e\u0433\u043e, \u043a\u0430\u043a \u043e\u043d\u0438 \u043f\u0440\u043e\u0438\u0437\u043e\u0448\u043b\u0438. \u041d\u043e \u0443 \u043d\u0435\u0433\u043e \u0435\u0441\u0442\u044c \u00ab\u0431\u0440\u0430\u0442\u00bb \u2013 fanotify<\/a>. \u0412 \u043d\u0451\u043c \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0435 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u043e\u0441\u0442\u0438 \u043d\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043e\u0442\u043a\u0440\u044b\u0442\u0438\u044f, \u043a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0444\u0430\u0439\u043b\u0430<\/a>. \u041d\u043e \u043d\u0430\u043c \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0438\u043c\u0435\u0442\u044c \u0442\u0430\u043a\u0443\u044e \u0436\u0435 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0438 \u0434\u043b\u044f \u0441\u043e\u0431\u044b\u0442\u0438\u0439 \u0443\u0434\u0430\u043b\u0435\u043d\u0438\u044f, \u043f\u0435\u0440\u0435\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u044f, \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0435\u043d\u0438\u044f, \u0430, \u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u043d\u043e, fanotify \u043d\u0430\u043c \u0432 \u044d\u0442\u043e\u043c \u043d\u0435 \u043f\u043e\u043c\u043e\u0436\u0435\u0442. \u0425\u043e\u0447\u0443 \u0437\u0430\u043c\u0435\u0442\u0438\u0442\u044c, \u0447\u0442\u043e fanotify \u2013 \u044d\u0442\u043e userspace \u0443\u0442\u0438\u043b\u0438\u0442\u0430, \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u043f\u0440\u0438 \u0435\u0451 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0438 \u043d\u0435\u0442 \u043f\u0440\u043e\u0431\u043b\u0435\u043c \u0441 \u043f\u043b\u0430\u0442\u0444\u043e\u0440\u043c\u043e\u043f\u0435\u0440\u0435\u043d\u043e\u0441\u0438\u043c\u043e\u0441\u0442\u044c\u044e. <\/p>\n

Virtual File System<\/p>\n

<\/figcaption><\/figure>\n

\u0421\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u044d\u0442\u0430\u043f\u043e\u043c \u0438\u0437\u0443\u0447\u0435\u043d\u0438\u044f \u0441\u0442\u0430\u043b\u0430 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0430 \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u0439 \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 VFS<\/a>.<\/p>\n

\u041f\u043e\u0441\u043b\u0435 \u0430\u043d\u0430\u043b\u0438\u0437\u0430 VFS<\/a> \u043d\u0430 \u043e\u0441\u043d\u043e\u0432\u0435 Dtrace<\/a>, eBPF<\/a> \u0438 bcc<\/a>, \u0441\u0442\u0430\u043b\u043e \u043f\u043e\u043d\u044f\u0442\u043d\u043e, \u0447\u0442\u043e \u043f\u0440\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0438 \u0434\u0430\u043d\u043d\u043e\u0439 \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u0438\u043d\u0433 \u0441\u043e\u0431\u044b\u0442\u0438\u0439, \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u044f\u0449\u0438\u0445 \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0435. \u0412 \u0434\u0430\u043d\u043d\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435, \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442 \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 LKM<\/a>. \u0412 \u0440\u0430\u043c\u043a\u0430\u0445 \u0438\u0437\u0443\u0447\u0435\u043d\u0438\u044f \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0445 \u043c\u043e\u0434\u0443\u043b\u0435\u0439 \u043f\u043e\u0434 \u0440\u0430\u0437\u043d\u044b\u0435 \u044f\u0434\u0440\u0430 \u0432\u044b\u044f\u0432\u043b\u0435\u043d\u043e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0435:<\/p>\n

\u2022 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442 \u043d\u0435 \u0432\u0441\u0435\u0433\u0434\u0430 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043e\u0442\u0441\u043b\u0435\u0434\u0438\u0442\u044c \u043f\u043e\u043b\u043d\u044b\u0439 \u043f\u0443\u0442\u044c \u043a \u0444\u0430\u0439\u043b\u0443;<\/p>\n

\u2022 \u043f\u0440\u0438 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0435 \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u044f \u043a \u0444\u0430\u0439\u043b\u0443 \u0447\u0435\u0440\u0435\u0437 \u043e\u0442\u043a\u0440\u044b\u0442\u043e\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435, \u0430 \u043d\u0435 \u0438\u0437 \u043f\u0440\u043e\u0432\u043e\u0434\u043d\u0438\u043a\u0430, \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u043f\u0443\u0442\u044c \u043a \u0444\u0430\u0439\u043b\u0443 \u0432 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u0430\u0445;<\/p>\n

\u2022 \u0434\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u044f\u0434\u0440\u0430 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u0430 \u0441\u0432\u043e\u044f \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f.<\/p>\n

Janus, SElinux \u0438 AppArmor<\/p>\n

<\/figcaption><\/figure>\n

\u0412 \u0445\u043e\u0434\u0435 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f, \u0431\u044b\u043b\u0430 \u043d\u0430\u0439\u0434\u0435\u043d\u0430 \u0441\u0442\u0430\u0442\u044c\u044f \u043f\u043e \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u044e \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u0438 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u044f\u0434\u0440\u0430 Linux<\/a>. \u041e\u0442\u0441\u044e\u0434\u0430 \u0441\u043b\u0435\u0434\u0443\u0435\u0442, \u0447\u0442\u043e \u043d\u0430 \u0440\u044b\u043d\u043a\u0435 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e\u0435 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u0440\u0435\u0448\u0435\u043d\u0438\u0439. \u0421\u0430\u043c\u044b\u043c \u043b\u0435\u0433\u043a\u043e \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u043c\u044b\u043c \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f Janus<\/a>. \u041c\u0438\u043d\u0443\u0441\u043e\u043c \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u0432\u044b\u0441\u0442\u0443\u043f\u0430\u0435\u0442 \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0438 \u0441\u0432\u0435\u0436\u0438\u0445 \u044f\u0434\u0435\u0440 \u0438 \u0432\u0441\u0435 \u0432\u044b\u0448\u0435\u043e\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0435 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u044b LKM \u0445\u0443\u043a\u0430. \u0420\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f SELinux<\/a> \u0438 AppArmor<\/a> \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u043a\u0432\u0438\u043d\u0442\u044d\u0441\u0441\u0435\u043d\u0446\u0438\u044e \u0432\u0441\u0435\u0433\u043e \u043e\u043f\u0438\u0441\u0430\u043d\u043d\u043e\u0433\u043e \u0438 \u0438\u0437\u0443\u0447\u0435\u043d\u043d\u043e\u0433\u043e \u0440\u0430\u043d\u0435\u0435. \u041c\u043e\u0434\u0443\u043b\u044c SELinux \u0432\u043a\u043b\u044e\u0447\u0430\u0435\u0442 \u0432 \u0441\u0435\u0431\u044f \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0435 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u044b:<\/p>\n

\u2022 \u0441\u0435\u0440\u0432\u0435\u0440 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438;
\u2022 \u043a\u044d\u0448 \u0432\u0435\u043a\u0442\u043e\u0440\u0430 \u0434\u043e\u0441\u0442\u0443\u043f\u0430 (\u0430\u043d\u0433\u043b. Access Vector Cache, AVC);
\u2022 \u0442\u0430\u0431\u043b\u0438\u0446\u044b \u0441\u0435\u0442\u0435\u0432\u044b\u0445 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u043e\u0432;
\u2022 \u043a\u043e\u0434 \u0441\u0438\u0433\u043d\u0430\u043b\u0430 \u0441\u0435\u0442\u0435\u0432\u043e\u0433\u043e \u0443\u0432\u0435\u0434\u043e\u043c\u043b\u0435\u043d\u0438\u044f;
\u2022 \u0441\u0432\u043e\u044e \u0432\u0438\u0440\u0442\u0443\u0430\u043b\u044c\u043d\u0443\u044e \u0444\u0430\u0439\u043b\u043e\u0432\u0443\u044e \u0441\u0438\u0441\u0442\u0435\u043c\u0443 (selinuxfs) \u0438 \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044e \u0444\u0443\u043d\u043a\u0446\u0438\u0439-\u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0447\u0438\u043a\u043e\u0432. <\/p>\n

\u0414\u043e\u043b\u0433\u043e\u0436\u0434\u0430\u043d\u043d\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435<\/h3>\n

\u041f\u043e\u0441\u043b\u0435 \u0432\u0441\u0435\u0445 \u044d\u0442\u0438\u0445 \u0431\u0435\u0441\u043a\u043e\u043d\u0435\u0447\u043d\u044b\u0445 \u00ab\u043d\u043e\u00bb, \u043d\u0430 \u043f\u043e\u043c\u043e\u0449\u044c \u043d\u0430\u043c \u043f\u0440\u0438\u0448\u0451\u043b \u0425\u0430\u0431\u0440! \u041d\u0430\u0442\u043a\u043d\u0443\u0432\u0448\u0438\u0441\u044c \u043d\u0430 \u0441\u0442\u0430\u0442\u044c\u044e<\/a>, \u0441\u0442\u0430\u043b\u043e \u044f\u0441\u043d\u043e, \u0447\u0442\u043e \u044d\u0442\u043e \u043d\u0430\u0448 \u0441\u043b\u0443\u0447\u0430\u0439.<\/p>\n

\u041e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0430<\/p>\n

<\/figcaption><\/figure>\n

\u0418\u0437\u0443\u0447\u0438\u0432 \u043f\u0440\u0435\u0434\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u043f\u043e ftrace<\/a> \u0438 \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438<\/a> \u0438\u0437 \u0441\u0430\u043c\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0438, \u0441\u0434\u0435\u043b\u0430\u043b\u0438 \u0430\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u043d\u044b\u0439 LKM \u043c\u043e\u0434\u0443\u043b\u044c \u043d\u0430 \u0431\u0430\u0437\u0435 ftrace. \u0414\u0430\u043d\u043d\u0430\u044f \u0443\u0442\u0438\u043b\u0438\u0442\u0430, \u0432 \u0441\u0432\u043e\u044e \u043e\u0447\u0435\u0440\u0435\u0434\u044c, \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043d\u0430 \u0431\u0430\u0437\u0435 \u0444\u0430\u0439\u043b\u043e\u0432\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u044b debugfs, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0432 \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u0435 \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0445 \u0434\u0438\u0441\u0442\u0440\u0438\u0431\u0443\u0442\u0438\u0432\u043e\u0432 Linux \u0441\u043c\u043e\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0430 \u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e. Hook’\u0438 \u0434\u043e\u0431\u0430\u0432\u0438\u043b\u0438 \u043d\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043a \u0443\u0436\u0435 \u0438\u043c\u0435\u044e\u0449\u0438\u043c\u0441\u044f clone \u0438 open:<\/p>\n

\u2022 openat,
\u2022 rename,
\u2022 unlink,
\u2022 unlinkat. <\/p>\n

\u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u0430\u0442\u044c \u043e\u0442\u043a\u0440\u044b\u0442\u0438\u0435, \u043f\u0435\u0440\u0435\u0438\u043c\u0435\u043d\u043e\u0432\u0430\u043d\u0438\u0435, \u043f\u0435\u0440\u0435\u043c\u0435\u0449\u0435\u043d\u0438\u0435, \u043a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435, \u0443\u0434\u0430\u043b\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u0430. <\/p>\n

\u0412\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435<\/p>\n

<\/figcaption><\/figure>\n

\u0422\u0435\u043f\u0435\u0440\u044c \u043d\u0430\u043c \u043d\u0443\u0436\u043d\u043e \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u0442\u044c \u0441\u0432\u044f\u0437\u044c \u043c\u0435\u0436\u0434\u0443 \u043c\u043e\u0434\u0443\u043b\u0435\u043c \u044f\u0434\u0440\u0430 \u0438 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435\u043c userspace. \u0414\u043b\u044f \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u0434\u0430\u043d\u043d\u043e\u0439 \u0437\u0430\u0434\u0430\u0447\u0438 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0442 \u0440\u0430\u0437\u043d\u044b\u0435 \u043f\u043e\u0434\u0445\u043e\u0434\u044b, \u043d\u043e \u0432 \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u043c \u0432\u044b\u0434\u0435\u043b\u044f\u044e\u0442 \u0434\u0432\u0430:<\/p>\n

\u2022 socket \u043c\u0435\u0436\u0434\u0443 kernel \u0438 userspace;
\u2022 \u0437\u0430\u043f\u0438\u0441\u044c\/\u0447\u0442\u0435\u043d\u0438\u0435 \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u043e\u0439 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u0432 \u0444\u0430\u0439\u043b. <\/p>\n

\u0412 \u0438\u0442\u043e\u0433\u0435, \u043c\u044b \u0432\u044b\u0431\u0440\u0430\u043b\u0438 netlink<\/a> socket, \u0442\u0430\u043a \u043a\u0430\u043a \u0432 Windows \u043c\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c \u0430\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u043d\u044b\u0439 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441 — FltSendMessage<\/a>. \u041c\u043e\u0436\u043d\u043e \u0431\u044b\u043b\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c inet<\/a> socket, \u043d\u043e \u044d\u0442\u043e \u043d\u0430\u0438\u043c\u0435\u043d\u0435\u0435 \u0437\u0430\u0449\u0438\u0449\u0451\u043d\u043d\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435. \u0422\u0430\u043a\u0436\u0435 \u0441\u0442\u043e\u043b\u043a\u043d\u0443\u043b\u0438\u0441\u044c \u0441 \u0442\u0430\u043a\u043e\u0439 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u043e\u0439, \u0447\u0442\u043e \u043d\u0430 .Net Core, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043e userspace \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435, \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442<\/a> \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044f<\/a> netlink.<\/p>\n

\u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u043f\u0440\u0438\u0448\u043b\u043e\u0441\u044c \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u044b\u0432\u0430\u0442\u044c \u0434\u0438\u043d\u0430\u043c\u0438\u0447\u0435\u0441\u043a\u0443\u044e \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0443 \u0441 \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0435\u0439<\/a> netlink<\/a> \u0438 \u0443\u0436\u0435 \u0435\u0451 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u0442\u044c \u0432 \u043f\u0440\u043e\u0435\u043a\u0442. <\/p>\n

 int open_netlink_connection(void) {     \/\/initialize our variables     int sock;     struct sockaddr_nl addr;     int group = NETLINK_GROUP;      \/\/open a new socket connection     sock = socket(AF_NETLINK, SOCK_RAW, NETLINK_USERSOCK);      \/\/if the socket failed to open,     if (sock < 0)      {         \/\/inform the user         printf(\"Socket failed to initialize.\\n\");         \/\/return the error value         return sock;     }      \/\/initialize our addr structure by filling it with zeros     memset((void *) &addr, 0, sizeof(addr));     \/\/specify the protocol family     addr.nl_family = AF_NETLINK;     \/\/set the process id to the current process id     addr.nl_pid = getpid();      \/\/bind the address to the socket created, and if it failed,     if (bind(sock, (struct sockaddr *) &addr, sizeof(addr)) < 0)      {         \/\/inform the user         printf(\"bind < 0.\\n\");         \/\/return the function with a symbolic error code         return -1;     }      \/\/set the option so that we can receive packets whose destination     \/\/is the group address specified (so that we can receive the message broadcasted by the kernel)     if (setsockopt(sock, 270, NETLINK_ADD_MEMBERSHIP, &group, sizeof(group)) < 0)      {         \/\/if it failed, inform the user         printf(\"setsockopt < 0\\n\");         \/\/return the function with a symbolic error code         return -1;     }      \/\/if we got thus far, then everything     \/\/went fine. Return our socket.     return sock; }  char* read_kernel_message(int sock) {     \/\/initialize the variables     \/\/that we are going to need     struct sockaddr_nl nladdr;     struct msghdr msg;     struct iovec iov;     char* buffer[CHUNK_SIZE];     char* kernelMessage;     int ret;      memset(&msg, 0, CMSG_SPACE(MAX_PAYLOAD));     memset(&nladdr, 0, sizeof(nladdr));     memset(&iov, 0, sizeof(iov));     \/\/specify the buffer to save the message     iov.iov_base = (void *) &buffer;     \/\/specify the length of our buffer     iov.iov_len = sizeof(buffer);      \/\/pass the pointer of our sockaddr structure     \/\/that will save the source IP and port of the connection     msg.msg_name = (void *) &(dest_addr);     \/\/give the size of our structure     msg.msg_namelen = sizeof(dest_addr);     \/\/pass our scatter\/gather I\/O structure pointer     msg.msg_iov = &iov;     \/\/we will pass only one buffer array,     \/\/therefore we will specify that here     msg.msg_iovlen = 1;      \/\/listen\/wait for new data     ret = recvmsg(sock, &msg, 0);      \/\/if message was received successfully,     if(ret >= 0)     {         \/\/get the string data and save them to a local variable         char* buf = NLMSG_DATA((struct nlmsghdr *) &buffer);          \/\/allocate memory for our kernel message         kernelMessage = (char*)malloc(CHUNK_SIZE);          \/\/copy the kernel data to our allocated space         strcpy(kernelMessage, buf);          \/\/return the pointer that points to the kernel data         return kernelMessage;     }          \/\/if we got that far, reading the message failed,     \/\/so we inform the user and return a NULL pointer     printf(\"Message could not received.\\n\");     return NULL; }  int send_kernel_message(int sock, char* kernelMessage) {     \/\/initialize the variables     \/\/that we are going to need     struct msghdr msg;     struct iovec iov;     char* buffer[CHUNK_SIZE];         int ret;      memset(&msg, 0, CMSG_SPACE(MAX_PAYLOAD));     memset(&iov, 0, sizeof(iov));      nlh = (struct nlmsghdr *)malloc(NLMSG_SPACE(MAX_PAYLOAD));     memset(nlh, 0, NLMSG_SPACE(MAX_PAYLOAD));     nlh->nlmsg_len = NLMSG_SPACE(MAX_PAYLOAD);     nlh->nlmsg_pid = getpid();     nlh->nlmsg_flags = 0;      char buff[160];     snprintf(buff, sizeof(buff), \"From:DSSAgent;Action:return;Message:%s;\", kernelMessage);     strcpy(NLMSG_DATA(nlh), buff);      iov.iov_base = (void *)nlh;     iov.iov_len = nlh->nlmsg_len;     \/\/pass the pointer of our sockaddr structure     \/\/that will save the source IP and port of the connection     msg.msg_name = (void *) &(dest_addr);     \/\/give the size of our structure     msg.msg_namelen = sizeof(dest_addr);     msg.msg_iov = &iov;     msg.msg_iovlen = 1;     printf(\"Sending message to kernel (%s)\\n\",(char *)NLMSG_DATA(nlh));     ret = sendmsg(sock, &msg, 0);     return ret; }  int sock_netlink_connection() { \tsock_fd = socket(PF_NETLINK, SOCK_RAW, NETLINK_USER);     if (sock_fd < 0)         return -1;       memset(&src_addr, 0, sizeof(src_addr));     src_addr.nl_family = AF_NETLINK;     src_addr.nl_pid = getpid(); \/* self pid *\/       bind(sock_fd, (struct sockaddr *)&src_addr, sizeof(src_addr));       memset(&dest_addr, 0, sizeof(dest_addr));     dest_addr.nl_family = AF_NETLINK;     dest_addr.nl_pid = 0; \/* For Linux Kernel *\/     dest_addr.nl_groups = 0; \/* unicast *\/       nlh = (struct nlmsghdr *)malloc(NLMSG_SPACE(MAX_PAYLOAD));     memset(nlh, 0, NLMSG_SPACE(MAX_PAYLOAD));     nlh->nlmsg_len = NLMSG_SPACE(MAX_PAYLOAD);     nlh->nlmsg_pid = getpid();     nlh->nlmsg_flags = 0;       strcpy(NLMSG_DATA(nlh), \"From:DSSAgent;Action:hello;\");       iov.iov_base = (void *)nlh;     iov.iov_len = nlh->nlmsg_len;     msg.msg_name = (void *)&dest_addr;     msg.msg_namelen = sizeof(dest_addr);     msg.msg_iov = &iov;     msg.msg_iovlen = 1;       printf(\"Sending message to kernel\\n\");     sendmsg(sock_fd, &msg, 0);     printf(\"Waiting for message from kernel\\n\");       \/* Read message from kernel *\/     recvmsg(sock_fd, &msg, 0);     printf(\"Received message payload: %s\\n\", (char *)NLMSG_DATA(nlh)); \t \treturn sock_fd; } void sock_netlink_disconnection(int sock) { \tclose(sock);     free(nlh); }<\/code><\/pre>\n
\u0422\u0430\u043a\u0436\u0435, \u0432 \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u043c \u043e\u043a\u0430\u0437\u0430\u043b\u043e\u0441\u044c, \u0447\u0442\u043e \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u044e\u0442 \u0432 Net.Core \u2013 \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 \u043f\u043e\u0438\u0441\u043a \u043f\u043e pid \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 \u0438\u043c\u0435\u043d\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f, \u043a\u043e\u0442\u043e\u0440\u043e\u043c\u0443 \u043f\u0440\u0438\u043d\u0430\u0434\u043b\u0435\u0436\u0438\u0442 \u044d\u0442\u043e\u0442 \u043f\u0440\u043e\u0446\u0435\u0441\u0441<\/a>. \u041f\u0440\u0438\u043c\u0435\u0440\u043e\u0432 <\/a>\u0434\u0430\u043d\u043d\u043e\u0439 <\/a>\u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 <\/a>\u043e\u043a\u0430\u0437\u0430\u043b\u0430\u0441\u044c <\/a>\u043c\u0430\u0441\u0441\u0430<\/a>, \u043d\u043e, \u0432 \u0440\u0430\u043c\u043a\u0430\u0445 \u043d\u0430\u0448\u0435\u0433\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u043d\u0435 \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u0438\u0445 \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u0442\u044c. \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043b\u0438 \u0432 \u0442\u043e\u0439 \u0436\u0435 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0435 \u0441\u0432\u043e\u044e \u0444\u0443\u043d\u043a\u0446\u0438\u044e \u043d\u0430\u0445\u043e\u0436\u0434\u0435\u043d\u0438\u044f uid \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f, \u043f\u043e \u043a\u043e\u0442\u043e\u0440\u043e\u043c\u0443 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044f \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u044b\u0435 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0438\u043c\u044f. <\/p>\n
char* get_username_by_pid(int pid) {    register struct passwd *pw;   register uid_t uid;   int c;   FILE *fp;   char filename[255];   sprintf(filename, \"\/proc\/%d\/loginuid\", pid);   char cc[8];      \/\/ \u0447\u0442\u0435\u043d\u0438\u0435 \u0438\u0437 \u0444\u0430\u0439\u043b\u0430   if((fp= fopen(filename, \"r\"))==NULL)     {         perror(\"Error occured while opening file\");         return \"\";     }   \/\/ \u0441\u0447\u0438\u0442\u044b\u0432\u0430\u0435\u043c, \u043f\u043e\u043a\u0430 \u043d\u0435 \u0434\u043e\u0439\u0434\u0435\u043c \u0434\u043e \u043a\u043e\u043d\u0446\u0430   while((fgets(cc, 8, fp))!=NULL) {}         fclose(fp);      uid = atoi(cc);    pw = getpwuid (uid);   if (pw)   {       return pw->pw_name;   }   else   {       return \"\";   } }<\/code><\/pre>\n
\u0414\u043e\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u043c\u043e\u0434\u0443\u043b\u044f<\/p>\n
\u041f\u043e \u0438\u0442\u043e\u0433\u0443 \u0434\u043e\u0431\u0430\u0432\u0438\u043b\u0438 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u0435 \u043f\u043e netlink \u0432 \u0438\u043d\u0438\u0446\u0438\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044e LKM. <\/p>\n
static int fh_init(void) {     int err; \tstruct netlink_kernel_cfg cfg = \t{ #if LINUX_VERSION_CODE >= KERNEL_VERSION(3, 6, 0) \t\t.groups = 1, #endif \t\t.input = nl_recv_msg, \t};  #if LINUX_VERSION_CODE > KERNEL_VERSION(2, 6, 36) \tnl_sk = netlink_kernel_create(&init_net, NETLINK_USER, &cfg); #elif LINUX_VERSION_CODE >= KERNEL_VERSION(2, 6, 32) \tnl_sk = netlink_kernel_create(&init_net, NETLINK_USER, 0, nl_recv_msg, NULL, THIS_MODULE); #else \tnl_sk = netlink_kernel_create(NETLINK_USER, 0, nl_recv_msg, THIS_MODULE); #endif  \tif (!nl_sk) \t{ \t\tprintk(KERN_ERR \"%s Could not create netlink socket\\n\", __func__); \t\treturn 1; \t}  \terr = fh_install_hooks(hooks, ARRAY_SIZE(hooks)); \tif (err) \t\treturn err;  \tp_list_hook_files = (tNode *)kmalloc(sizeof(tNode), GFP_KERNEL); \tp_list_hook_files->next = NULL; \tp_list_hook_files->value = 0;  \tpr_info(\"module loaded\\n\");  \treturn 0; } module_init(fh_init);  static void fh_exit(void) { \tdelete_list(p_list_hook_files); \tfh_remove_hooks(hooks, ARRAY_SIZE(hooks)); \tnetlink_kernel_release(nl_sk); \tpr_info(\"module unloaded\\n\"); } module_exit(fh_exit);<\/code><\/pre>\n
Socket \u043e\u0436\u0438\u0434\u0430\u0435\u0442 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0430 \u0441\u043e\u0431\u044b\u0442\u0438\u044f \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u044f \u043a \u0444\u0430\u0439\u043b\u0443. \u041c\u043e\u0434\u0443\u043b\u044c, \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u044f \u0441\u043e\u0431\u044b\u0442\u0438\u0435, \u043f\u0435\u0440\u0435\u0434\u0430\u0451\u0442 \u0438\u043c\u044f \u0444\u0430\u0439\u043b\u0430, pid \u0438 \u0438\u043c\u044f \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430. Userspace \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435, \u043f\u043e\u043b\u0443\u0447\u0430\u044f \u0434\u0430\u043d\u043d\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e, \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0435\u0451 \u0438 \u043e\u0442\u0432\u0435\u0447\u0430\u0435\u0442, \u0447\u0442\u043e \u0434\u0435\u043b\u0430\u0442\u044c \u0441 \u0444\u0430\u0439\u043b\u043e\u043c (\u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0438\u043b\u0438 \u0440\u0430\u0437\u0440\u0435\u0448\u0430\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f). \u0412\u043f\u043e\u0441\u043b\u0435\u0434\u0441\u0442\u0432\u0438\u0438 \u043c\u043e\u0434\u0443\u043b\u044c \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u0442 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u044b\u0439 \u0432\u044b\u0437\u043e\u0432.<\/p>\n
static void send_msg_to_user(const char *msgText) { \tint msgLen = strlen(msgText);  \tstruct sk_buff *skb = nlmsg_new(NLMSG_ALIGN(msgLen), GFP_KERNEL);  \tif (!skb) \t{ \t\tprintk(KERN_ERR \"%s Allocation skb failure.\\n\", __func__); \t\treturn; \t}  \tstruct nlmsghdr *nlh = nlmsg_put(skb, 0, 1, NLMSG_DONE, msgLen, 0);  \tif (!nlh) \t{ \t\tprintk(KERN_ERR \"%s Create nlh failure.\\n\", __func__); \t\tnlmsg_free(skb); \t\treturn; \t}  \tNETLINK_CB(skb).dst_group = 0; \tstrncpy(nlmsg_data(nlh), msgText, msgLen);  \tint errorVal = nlmsg_unicast(nl_sk, skb, pid);  \tif (errorVal < 0) \t\tprintk(KERN_ERR \"%s nlmsg_unicast() error: %d\\n\", __func__, errorVal); }  static void return_msg_to_user(struct nlmsghdr *nlh) { \tpid = nlh->nlmsg_pid;  \tconst char *msg = \"Init socket from kernel\"; \tconst int msg_size = strlen(msg);  \tstruct sk_buff *skb = nlmsg_new(msg_size, 0); \tif (!skb) \t{ \t\tprintk(KERN_ERR \"%s Failed to allocate new skb\\n\", __func__); \t\treturn; \t}  \tnlh = nlmsg_put(skb, 0, 0, NLMSG_DONE, msg_size, 0); \tNETLINK_CB(skb).dst_group = 0; \tstrncpy(nlmsg_data(nlh), msg, msg_size);  \tint res = nlmsg_unicast(nl_sk, skb, pid); \tif (res < 0) \t\tprintk(KERN_ERR \"%s Error while sending back to user (%i)\\n\", __func__, res); }<\/code><\/pre>\n
\u041f\u043e\u0437\u0434\u043d\u0435\u0435, \u0434\u043b\u044f \u0440\u0430\u0431\u043e\u0442\u044b \u0434\u0440\u0443\u0433\u043e\u0433\u043e \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0432 \u0434\u0430\u043d\u043d\u044b\u0439 \u043c\u043e\u0434\u0443\u043b\u044c, \u0434\u043e\u0431\u0430\u0432\u0438\u043b\u0438 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0451\u043d\u043d\u043e\u043c\u0443 \u0444\u0430\u0439\u043b\u0443 (\u043f\u043e \u0435\u0433\u043e \u043f\u043e\u043b\u043d\u043e\u043c\u0443 \u043f\u0443\u0442\u0438) \u0434\u043b\u044f \u0432\u0441\u0435\u0445 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u043e\u0432, \u043a\u0440\u043e\u043c\u0435 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0451\u043d\u043d\u043e\u0433\u043e (\u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u043c \u043f\u043e pid \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430).<\/p>\n
static void parse_return_from_user(char *return_msg) { \tchar *msg = np_extract_value(return_msg, \"Message\", ';'); \tconst char *file_name = strsep(&msg, \"|\");  \tprintk(KERN_INFO \"%s Name:(%s) Permiss:(%s)\\n\", __func__, file_name, msg);  \tif (strstr(msg, \"Deny\")) \t\treload_name_list(p_list_hook_files, file_name, Deny); \telse \t\treload_name_list(p_list_hook_files, file_name, Allow); }  static void free_guards(void) { \t\/\/ Possibly unpredictable behavior during cleaning \tmemset(&guards, 0, sizeof(struct process_guards)); }  static void change_guards(char *msg) { \tchar *path = np_extract_value(msg, \"Path\", ';'); \tchar *count_str = np_extract_value(msg, \"Count\", ';');  \tif (path && strlen(path) && count_str && strlen(count_str)) \t{ \t\tint i, found = -1;  \t\tfor (i = 0; i < guards.count; ++i) \t\t\tif (guards.process[i].file_path && !strcmp(path, guards.process[i].file_path)) \t\t\t\tfound = i;  \t\tguards.is_busy = 1;  \t\tint count; \t\tkstrtoint(count_str, 10, &count);  \t\tif (count > 0) \t\t{ \t\t\tif (found == -1) \t\t\t{ \t\t\t\tstrcpy(guards.process[guards.count].file_path, path); \t\t\t\tfound = guards.count; \t\t\t\tguards.count++; \t\t\t}  \t\t\tfor (i = 0; i < count; ++i) \t\t\t{ \t\t\t\tchar buff[8]; \t\t\t\tsnprintf(buff, sizeof(buff), \"Pid%d\", i + 1); \t\t\t\tchar *pid = np_extract_value(msg, buff, ';'); \t\t\t\tif (pid && strlen(pid)) \t\t\t\t\tkstrtoint(pid, 10, &guards.process[found].allow_pids[i]); \t\t\t\telse \t\t\t\t\tguards.process[found].allow_pids[i] = 0; \t\t\t}  \t\t\tguards.process[found].allow_pids[count] = 0; \t\t} \t\telse \t\t{ \t\t\tif (found >= 0) \t\t\t{ \t\t\t\tfor (i = found; i < guards.count - 1; ++i) \t\t\t\t\tguards.process[i] = guards.process[i + 1];  \t\t\t\tguards.count--; \t\t\t} \t\t}  \t\tguards.is_busy = 0; \t} }  \/\/ Example message is \"From:CryptoCli;Action:clear;\" or \"From:DSSAgent;Action:init;\" static void nl_recv_msg(struct sk_buff *skb) { \tprintk(KERN_INFO \"%s <--\\n\", __func__);  \tstruct nlmsghdr *nlh = (struct nlmsghdr *)skb->data;  \tprintk(KERN_INFO \"%s Netlink received msg payload:%s\\n\", __func__, (char *)nlmsg_data(nlh));  \tchar *msg = (char *)nlmsg_data(nlh);  \tif (msg && strlen(msg)) \t{ \t\tchar *from = np_extract_value(msg, \"From\", ';'); \t\tchar *action = np_extract_value(msg, \"Action\", ';');  \t\tif (from && strlen(from) && action && strlen(action)) \t\t{ \t\t\t \t\t\tif (!strcmp(from, \"DSSAgent\")) \t\t\t{ \t\t\t\tif (!strcmp(action, \"init\")) \t\t\t\t{ \t\t\t\t\treturn_msg_to_user(nlh); \t\t\t\t} \t\t\t\telse if (!strcmp(action, \"return\")) \t\t\t\t{ \t\t\t\t\tparse_return_from_user(msg); \t\t\t\t} \t\t\t\telse \t\t\t\t{ \t\t\t\t\tprintk(KERN_ERR \"%s Failed msg, \\\"From\\\" is %s and \\\"Action\\\" is %s\\n\", __func__, from, action); \t\t\t\t} \t\t\t} \t\t\telse if (!strcmp(from, \"CryptoCli\")) \t\t\t{ \t\t\t\tif (!strcmp(action, \"clear\")) \t\t\t\t{ \t\t\t\t\tfree_guards(); \t\t\t\t} \t\t\t\telse if (!strcmp(action, \"change\")) \t\t\t\t{ \t\t\t\t\tchange_guards(msg); \t\t\t\t} \t\t\t\telse \t\t\t\t{ \t\t\t\t\tprintk(KERN_ERR \"%s Failed msg, \\\"From\\\" is %s and \\\"Action\\\" is %s\\n\", __func__, from, action); \t\t\t\t} \t\t\t} \t\t\telse \t\t\t{ \t\t\t\tprintk(KERN_ERR \"%s Failed msg, \\\"From\\\" is %s and \\\"Action\\\" is %s\\n\", __func__, from, action); \t\t\t}  \t\t} \t\telse \t\t{ \t\t\tprintk(KERN_ERR \"%s Failed parse msg, don`t found \\\"From\\\" and \\\"Action\\\" (%s)\\n\", __func__, msg); \t\t} \t} \telse \t{ \t\tprintk(KERN_ERR \"%s Failed parse struct nlmsg_data, msg is empty\\n\", __func__); \t}  \tprintk(KERN_INFO \"%s -->\\n\", __func__); }  static bool check_file_access(char *fname, int processPid) { \tif (fname && strlen(fname)) \t{ \t\tint i;  \t\tfor (i = 0; i < guards.count; ++i) \t\t{ \t\t\tif (!strcmp(fname, guards.process[i].file_path) && guards.process[i].allow_pids[0] != 0) \t\t\t{ \t\t\t\tint j; \t\t\t\t \t\t\t\tfor (j = 0; guards.process[i].allow_pids[j] != 0; ++j) \t\t\t\t\tif (processPid == guards.process[i].allow_pids[j]) \t\t\t\t\t\treturn true;  \t\t\t\treturn false; \t\t\t} \t\t} \t\t \t\t\/\/ Not found filename in guards \t\tif (strstr(fname, filetype)) \t\t{ \t\t\tchar *processName = current->comm;  \t\t\tprintk(KERN_INFO \"%s service pid = %d\\n\", __func__, pid); \t\t\tprintk(KERN_INFO \"%s file name = %s, process pid: %d, , process name = %s\\n\", __func__, fname, processPid, processName);  \t\t\tif (processPid == pid) \t\t\t{ \t\t\t\treturn true; \t\t\t} \t\t\telse \t\t\t{ \t\t\t\tadd_list(p_list_hook_files, processPid, fname, None);  \t\t\t\tchar *buffer = kmalloc(4096, GFP_KERNEL); \t\t\t\tsprintf(buffer, \"%s|%s|%d\", fname, processName, processPid); \t\t\t\tsend_msg_to_user(buffer); \t\t\t\tkfree(buffer);  \t\t\t\tssleep(5);  \t\t\t\tbool ret = true;  \t\t\t\tif (find_list(p_list_hook_files, fname) == Deny) \t\t\t\t\tret = false;  \t\t\t\tdelete_node(p_list_hook_files, fname);  \t\t\t\treturn ret; \t\t\t} \t\t} \t}  \treturn true; }<\/code><\/pre>\n
\u0418\u043d\u0442\u0435\u0433\u0440\u0430\u0446\u0438\u044f \u0432 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438<\/p>\n
\u0422\u0430\u043a \u043a\u0430\u043a \u043f\u0435\u0440\u0432\u044b\u0435 \u0434\u0432\u0430 \u043c\u0438\u043d\u0443\u0441\u0430 LKM \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u043f\u0440\u0435\u043e\u0434\u043e\u043b\u0435\u0442\u044c \u0447\u0435\u0440\u0435\u0437 \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u044e ftrace, \u0442\u0440\u0435\u0442\u0438\u0439 \u043d\u0438\u043a\u0442\u043e \u043d\u0435 \u043e\u0442\u043c\u0435\u043d\u044f\u043b. \u041c\u0430\u043b\u043e \u0442\u043e\u0433\u043e, \u0447\u0442\u043e \u043f\u043e\u0434 \u043a\u0430\u0436\u0434\u043e\u0435 \u044f\u0434\u0440\u043e \u043d\u0443\u0436\u043d\u0430 \u0441\u0431\u043e\u0440\u043a\u0430 \u043c\u043e\u0434\u0443\u043b\u044f, \u0443\u0436\u0435 \u0432 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u043e\u043d \u043c\u043e\u0436\u0435\u0442 \u00ab\u043f\u0440\u043e\u0442\u0443\u0445\u043d\u0443\u0442\u044c\u00bb. \u0411\u044b\u043b\u043e \u043f\u0440\u0438\u043d\u044f\u0442\u043e \u0440\u0435\u0448\u0435\u043d\u0438\u0435 \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c \u0435\u0433\u043e \u043f\u0435\u0440\u0435\u0441\u0431\u043e\u0440\u043a\u0443 \u043f\u0435\u0440\u0435\u0434 \u043a\u0430\u0436\u0434\u044b\u043c \u0437\u0430\u043f\u0443\u0441\u043a\u043e\u043c userspace \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f.  \u0412 \u0441\u0442\u0430\u0442\u044c\u0435 <\/a>\u043f\u043e \u0441\u0431\u043e\u0440\u043a\u0435 Linux \u043f\u0430\u043a\u0435\u0442\u043e\u0432 \u0431\u044b\u043b\u043e \u043e\u043f\u0438\u0441\u0430\u043d\u043e, \u0447\u0442\u043e \u00ab\u0441\u043b\u0443\u0436\u0431\u0443\u00bb, \u0434\u043b\u044f \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u043c\u044b \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u044b\u0432\u0430\u0435\u043c \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0443 \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u0430 \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u044f \u043a \u0444\u0430\u0439\u043b\u0443, \u043c\u044b \u00ab\u0434\u0435\u043c\u043e\u043d\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043b\u0438\u00bb \u043f\u0443\u0442\u0451\u043c \u0434\u043e\u0431\u0430\u0432\u043b\u0435\u043d\u0438\u044f \u0432 system. \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u0434\u043b\u044f \u0434\u0435\u043c\u043e\u043d\u0430.service \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u043c \u0434\u0432\u0430 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u043f\u0443\u043d\u043a\u0442\u0430, \u043f\u043e\u043c\u0438\u043c\u043e ExecStart \u0438 ExecStop \u0431\u0443\u0434\u0443\u0442:<\/p>\n
ExecStartPre=\/bin\/sh \/\u043f\u0443\u0442\u044c_\u0434\u043e_\u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u044f\/prestart.sh ExecStopPost=\/sbin\/rmmod \u0438\u043c\u044f_\u043c\u043e\u0434\u0443\u043b\u044f.ko<\/code><\/pre>\n
\u0430 \u0432 \u0441\u0430\u043c prestart.sh:<\/p>\n
#!\/bin\/sh  MOD_VAL=$(lsmod | grep \u0438\u043c\u044f_\u043c\u043e\u0434\u0443\u043b\u044f | wc -l)  cd \/\u043f\u0443\u0442\u044c_\u0434\u043e_\u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u044f_\u043c\u043e\u0434\u0443\u043b\u044f make clean make all  if [ $MOD_VAL = 1 ] then     for proc in $(ps aux | grep DSS.Agent | awk '{print $2}'); do kill -9 $proc; done else     \/sbin\/insmod \/ \u043f\u0443\u0442\u044c_\u0434\u043e_\u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u044f_\u043c\u043e\u0434\u0443\u043b\u044f\/\u0438\u043c\u044f_\u043c\u043e\u0434\u0443\u043b\u044f.ko fi<\/code><\/pre>\n
\u0417\u0430\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435<\/h3>\n
\u0412 \u0437\u0430\u0432\u0435\u0440\u0448\u0435\u043d\u0438\u0435, \u0445\u043e\u0447\u0435\u0442\u0441\u044f \u043e\u0442\u043c\u0435\u0442\u0438\u0442\u044c: \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u043f\u0443\u0442\u044c, \u043f\u043e \u043a\u043e\u0442\u043e\u0440\u043e\u043c\u0443 \u043c\u044b \u043f\u043e\u0448\u043b\u0438, \u043d\u0435 \u0441\u0430\u043c\u044b\u0439 \u00ab\u043a\u0440\u0430\u0441\u0438\u0432\u044b\u0439 \u0438 \u044d\u043b\u0435\u0433\u0430\u043d\u0442\u043d\u044b\u0439\u00bb, \u043d\u043e, \u043e\u043d \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u043e\u0442\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u043d\u0443\u044e \u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u0435\u043d\u043d\u0443\u044e \u043b\u043e\u0433\u0438\u043a\u0443 \u0440\u0430\u0431\u043e\u0442\u044b \u043d\u0430 \u041e\u0421 Windows. \u0411\u044b\u043b\u043e \u0431\u044b \u043f\u043e\u043b\u0435\u0437\u043d\u043e \u0443\u0441\u043b\u044b\u0448\u0430\u0442\u044c \u0432 \u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u044f\u0445 \u043c\u043d\u0435\u043d\u0438\u0435 \u0447\u0438\u0442\u0430\u0442\u0435\u043b\u0435\u0439 \u0441\u0442\u0430\u0442\u044c\u0438. \u0412\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u0435\u0441\u0442\u044c \u0431\u043e\u043b\u0435\u0435 \u0440\u0430\u0437\u0443\u043c\u043d\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435 \u0437\u0430\u0434\u0430\u0447\u0438. \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043d\u0430\u0448 DevOps, \u0432 \u0442\u043e\u0442 \u043c\u043e\u043c\u0435\u043d\u0442, \u043a\u043e\u0433\u0434\u0430 \u043c\u044b \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043b\u0438 \u0441\u0431\u043e\u0440\u043a\u0443 \u043f\u0430\u043a\u0435\u0442\u0430 Linux \u0438 \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043b\u0438\/\u0434\u043e\u0431\u0430\u0432\u043b\u044f\u043b\u0438 LKM, \u043f\u0440\u0435\u0434\u043b\u043e\u0436\u0438\u043b \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u0442\u044c \u043b\u043e\u0433\u0438\u043a\u0443 \u0441 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435\u043c Access Control List (ACL). \u0421\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e, \u0432 \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u043c \u043c\u044b \u0437\u0430\u0439\u043c\u0451\u043c\u0441\u044f \u043f\u0435\u0440\u0435\u0440\u0430\u0431\u043e\u0442\u043a\u043e\u0439 \u043d\u0430\u0448\u0435\u0433\u043e \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u0430 \u043f\u043e\u0434 Linux.  \u0418, \u0434\u0430, \u0441\u043a\u043e\u0440\u043e \u0431\u0443\u0434\u0435\u0442 \u043d\u043e\u0432\u0430\u044f \u0441\u0442\u0430\u0442\u044c\u044f, \u043e \u0442\u043e\u043c, \u043a\u0430\u043a \u043c\u044b \u043f\u0435\u0440\u0435\u043d\u043e\u0441\u0438\u043b\u0438 MS Forms \u043d\u0430 Avalonia \u0438 \u0435\u0433\u043e \u0438\u043d\u0442\u0435\u0433\u0440\u0430\u0446\u0438\u0438 \u0432 Linux.<\/p>\n
\u0421\u0441\u044b\u043b\u043a\u0438 \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0430\u043c \u043f\u043e\u043c\u043e\u0433\u043b\u0438<\/h3>\n