netlink+kprobe实现linux下进程监控

最新推荐文章于 2023-12-14 10:05:21 发布
最新推荐文章于 2023-12-14 10:05:21 发布
阅读量1.5k 收藏 4
点赞数
分类专栏: linux 文章标签: kprobe linux 进程监控 sys_execve bash下启动的进程监控
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012329314/article/details/72729739
版权 
#include <linux/kernel.h>  
#include <linux/module.h>  
#include <linux/kprobes.h>  
#include <net/sock.h>
#include <linux/netlink.h>
#include <linux/skbuff.h>
#include<linux/vmalloc.h>
#define NETLINK_USER 31
struct sock *nl_sk = NULL;
struct nlmsghdr *nlh;
int pid;
static struct kprobe kp = {  
    .symbol_name    = "sys_execve",  
};  
  
/* kprobe pre_handler: called just before the probed instruction is executed */  
static int handler_pre(struct kprobe *p, struct pt_regs *regs)  
{  
#ifdef CONFIG_X86  
        printk(KERN_INFO "pre_handler: p->addr = 0x%p, ip = %lx,"  
            " flags = 0x%lx,pid=%d,comm=%s,name=%s\n",  
        p->addr, regs->ip, regs->flags,current->pid,current->comm,*((char **)regs->si+1));  
        char ** argv = (char **) regs->si;
        size_t exec_line_size=0;
        while(NULL!=*argv)
        {
          exec_line_size=exec_line_size+strlen(*argv)+1;
          argv++;
        }
        char *str = vmalloc(exec_line_size);
        if (NULL!=str)
        {
           memset(str,0,exec_line_size);
           argv = (char **) regs->si;
           while (NULL != *argv) 
			   {
			
			     snprintf(str, exec_line_size,
					"%s%s",str, *argv);
			      argv++;	
		       }
        }		 
		if(pid!=0)
		{
			 struct sk_buff *skb_out;
			 int msg_size;
			 int res;
			 if(NULL!=str)
			 {
			   msg_size=strlen(str);
			   skb_out = nlmsg_new(msg_size,0);
			   if(!skb_out)
			   {
				   printk(KERN_ERR "Failed to allocate new skb\n");
				   vfree(str);
				   return 0;
			   } 
			   nlh=nlmsg_put(skb_out,0,0,NLMSG_DONE,msg_size,0);  
			   NETLINK_CB(skb_out).dst_group = 0; 
			   strncpy(nlmsg_data(nlh),str,msg_size);
			   res=nlmsg_unicast(nl_sk,skb_out,pid);
			   vfree(str);
			   return 0;
			 }
         }
         vfree(str);
#endif  
#ifdef CONFIG_PPC  
    printk(KERN_INFO "pre_handler: p->addr = 0x%p, nip = 0x%lx,"  
            " msr = 0x%lx\n",  
        p->addr, regs->nip, regs->msr);  
#endif  
#ifdef CONFIG_MIPS  
    printk(KERN_INFO "pre_handler: p->addr = 0x%p, epc = 0x%lx,"  
            " status = 0x%lx\n",  
        p->addr, regs->cp0_epc, regs->cp0_status);  
#endif  
  
    /* A dump_stack() here will give a stack backtrace */  
    return 0;  
}  
  
/* kprobe post_handler: called after the probed instruction is executed */  
static void handler_post(struct kprobe *p, struct pt_regs *regs,  
                unsigned long flags)  
{  
#ifdef CONFIG_X86  
    printk(KERN_INFO "post_handler: p->addr = 0x%p, flags = 0x%lx,pid=%d,comm=%s,name=%s\n",  
        p->addr, regs->flags,current->pid,current->comm,(char *)regs->di);  
#endif  
#ifdef CONFIG_PPC  
    printk(KERN_INFO "post_handler: p->addr = 0x%p, msr = 0x%lx\n",  
        p->addr, regs->msr);  
#endif  
#ifdef CONFIG_MIPS  
    printk(KERN_INFO "post_handler: p->addr = 0x%p, status = 0x%lx\n",  
        p->addr, regs->cp0_status);  
#endif  
}  
  
/* 
 * fault_handler: this is called if an exception is generated for any 
 * instruction within the pre- or post-handler, or when Kprobes 
 * single-steps the probed instruction. 
 */  
static int handler_fault(struct kprobe *p, struct pt_regs *regs, int trapnr)  
{  
    printk(KERN_INFO "fault_handler: p->addr = 0x%p, trap #%dn",  
        p->addr, trapnr);  
    /* Return 0 because we don't handle the fault. */  
    return 0;  
}  
static void hello_nl_recv_msg(struct sk_buff *skb) {
		//struct nlmsghdr *nlh;
		struct sk_buff *skb_out;
		int msg_size;
		char *msg="init";
		int res;
		printk(KERN_INFO "Entering: %s\n", __FUNCTION__);
		msg_size=strlen(msg);
		nlh=(struct nlmsghdr*)skb->data;
		printk(KERN_INFO "Netlink received msg payload:%s\n",(char*)nlmsg_data(nlh));
		pid = nlh->nlmsg_pid; /*pid of sending process */
		skb_out = nlmsg_new(msg_size,0);
		if(!skb_out)
		{
			printk(KERN_ERR "Failed to allocate new skb\n");
			return;
		} 
		nlh=nlmsg_put(skb_out,0,0,NLMSG_DONE,msg_size,0);  
		NETLINK_CB(skb_out).dst_group = 0; /* not in mcast group */
		strncpy(nlmsg_data(nlh),msg,msg_size);
		res=nlmsg_unicast(nl_sk,skb_out,pid);
		if(res<0)
			printk(KERN_INFO "Error while sending bak to user\n");
}
  
static int __init kprobe_init(void)  
{  
		struct netlink_kernel_cfg cfg = {
			.input = hello_nl_recv_msg,
		};
		nl_sk = netlink_kernel_create(&init_net, NETLINK_USER, &cfg);
		if(!nl_sk)
		{
			printk(KERN_ALERT "Error creating socket.\n");
			return -1;
		}
		int ret;  
		kp.pre_handler = handler_pre;  
		kp.post_handler = handler_post;  
		kp.fault_handler = handler_fault;  
		  
		ret = register_kprobe(&kp);  
		if (ret < 0)
		{  
	    	printk(KERN_INFO "register_kprobe failed, returned %d\n", ret);  
			return ret;  
		}  
		printk(KERN_INFO "Planted kprobe at %p\n", kp.addr);  
		return 0;  
}  
  
static void __exit kprobe_exit(void)  
{  
    unregister_kprobe(&kp);  
    printk(KERN_INFO "kprobe at %p unregistered\n", kp.addr);  
    netlink_kernel_release(nl_sk);
}  
  
module_init(kprobe_init)  
module_exit(kprobe_exit)  
MODULE_LICENSE("GPL");

用户态代码如下 

#include <sys/socket.h>
#include <linux/netlink.h>
#include <stdlib.h>
#include <string.h>
#include <stdio.h>
#define NETLINK_USER 31
#define MAX_PAYLOAD 1024 
struct sockaddr_nl src_addr, dest_addr;
struct nlmsghdr *nlh = NULL;
struct iovec iov;
int sock_fd;
struct msghdr msg;
int main()
{
		sock_fd=socket(PF_NETLINK, SOCK_RAW, NETLINK_USER);
		if(sock_fd<0)
		return -1;
		memset(&src_addr, 0, sizeof(src_addr));
		src_addr.nl_family = AF_NETLINK;
		src_addr.nl_pid = getpid(); 
		bind(sock_fd, (struct sockaddr*)&src_addr, sizeof(src_addr));
		memset(&dest_addr, 0, sizeof(dest_addr));
		memset(&dest_addr, 0, sizeof(dest_addr));
		dest_addr.nl_family = AF_NETLINK;
		dest_addr.nl_pid = 0; /* For Linux Kernel */
		dest_addr.nl_groups = 0; /* unicast */
		nlh = (struct nlmsghdr *)malloc(NLMSG_SPACE(MAX_PAYLOAD));
		memset(nlh, 0, NLMSG_SPACE(MAX_PAYLOAD));
		nlh->nlmsg_len = NLMSG_SPACE(MAX_PAYLOAD);
		nlh->nlmsg_pid = getpid();
		nlh->nlmsg_flags = 0;
		strcpy(NLMSG_DATA(nlh), "Hello");
		iov.iov_base = (void *)nlh;
		iov.iov_len = nlh->nlmsg_len;
		msg.msg_name = (void *)&dest_addr;
		msg.msg_namelen = sizeof(dest_addr);
		msg.msg_iov = &iov;
		msg.msg_iovlen = 1;
		printf("Sending message to kernel\n");
		sendmsg(sock_fd,&msg,0);
		printf("Waiting for message from kernel\n");
		/* Read message from kernel */
		while(1)
		{
		   recvmsg(sock_fd, &msg, 0);
		   printf("Received message payload: %s\n", (char *)NLMSG_DATA(nlh));
		}
		close(sock_fd);
}



Makefile 

ifneq ($(KERNELRELEASE),) # after ifneq ,there is a space! or,will get an error
obj-m := process.o 
else 
KERNELDIR := /lib/modules/$(shell uname -r)/build 
PWD := $(shell pwd) 
default: 
	$(MAKE) -C $(KERNELDIR) M=$(PWD) modules
	gcc user.c -o user 
clean: 
	rm -rf *.o *.ko *mod.c [mM]odule* .*.cmd *.o.d .tmp_versions 
endif




通过这种方式能够获得内核中启动的进程信息。通过ioctl会占用很多的cpu资源,所以这种方式能够满足需求。





Z000000Y
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
基于NETLINK IPC机制的进程间通信调试
dyllanzhou1979的博客
07-04 1264
对基于NETLINK的应用来说, 我们需要一种方式能够用来查看应用与内核之间通信的命令和事件目前内核已经实现了netlink监控的内核模块,基于此内核模块,我们可以使用传统的网络协议抓包方式来获取NETLINK相关的命令和事件1)打开内核NETLINK监控模块功能 CONFIG_NLMON=m //以模块的方式打开2)使用ip 命令创建nlmon网口  #ip link add nlmon0 ty...
puppy-hids:Linux主机入侵检测系统演示,采用netlink_audit协议,支持主机与容器进程,网络,文件监控
03-11
方便使用 四个模块: 网站:前端输入服务器检测规则,黑白名单,代理监控文件,审核规则到mongodb;响应代理定时获取在线服务器列表 服务器:提供代理rpc服务器调用,从mongodb中获取代理监控配置,保存服务器在线信息到mongodb,发送日志到进行可视化 代理:netlink家族的NETLINK_AUDIT协议监听SYSCALL时间,规则可以动态配置;读取/ proc文件系统需要管理员权限运行 守护程序:响应服务器指令下发(socket) 系统采用netlink_audit协议检测进程执行,连接系统调用,仅依赖内核kauditd,这个在内核2.6集成;对于安装第三方auditd用户程序服务需要停止,否则代理接收不到系统通过netlink传递的事件信息,通过libpcap抓取网络连接五元组信息,在/ proc补全进程argv,comm,path等信息,对与短暂进程,网络连接建立LRU
技术分享 | Linux 入侵检测中的进程创建监控
wsfcc的专栏
09-06 976
转载自:看雪专栏 作者简介:张博,网易高级信息安全工程师。 0x00 简介 在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快速地定位攻击行为。 本文将介绍一些常见的监控进程创建的方式,包括其原理、Demo、使用条件和优缺点。行文仓促,如果有哪些错误和不足,还望大家批评指正。 0x01 常见方式 目前来看,常见的获取进程创建的信息的方式有以下四种: So preload Netlink .
linux实现进程监控
pengcan985632236的博客
12-20 612
linux实现进程监控 vim daemon.sh while [ 1 ] do p_name="server" p_num=$(ps -e | grep "$p_name" | grep -v "grep" | wc -l) if [ $p_num -eq 0 ]; then /home/pc/server ...
linux 监控新建进程,技术分享 | Linux 入侵检测中的进程创建监控
weixin_32921023的博客
04-28 650
作者简介:张博,网易高级信息安全工程师。0x00 简介在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快速地定位攻击行为。本文将介绍一些常见的监控进程创建的方式,包括其原理、Demo、使用条件和优缺点。行文仓促,如果有哪些错误和不足,还望大家批评指正。0x01 常见方式目前来看,常见的获取进程创建的信息的方...
linux实现 python 监控usb设备信号
09-14
总结来说,在Linux下使用Python监控USB设备信号涉及到读取系统日志、理解和使用`udev`以及可能的`pyudev`库。通过这些工具和技术,开发者可以构建强大的系统监控和自动化解决方案,适应各种复杂的USB设备管理需求。
linux下使用netlink获取gateway的IP地址
04-23
要在linux下的程序中获取gateway的IP地址,使用netlink是一种直接、可靠的方法,不需要依赖其它命令,直接从linux内核获取信息,netlink编程的中文资料很少,本文试图用尽可能简单的方式讨论使用netlink获取gataway...
netlink:软件包netlink提供对Linux netlink套接字的低级访问。 麻省理工学院许可
02-02
网络链接 软件包netlink提供了对Linux netlink套接字的低级访问。 麻省理工学院许可。 有关netlink的工作方式的更多信息,请查看我关于博客系列。 如有任何疑问或需要指导,请在#networking频道中加入 !稳定性有关...
Linux 用户空间使用Netlink监听uevent
05-21
Linux 用户空间使用Netlink监听uevent,不是原理介绍,而是实战demo
Linux个人防火墙JAVA版实现(Netfilter+Netlink+Multi-Thre) in 2009
05-27
当时自己搜集的资料 博文链接:https://c-j.iteye.com/blog/364552
netlink:用于 go 的简单 netlink
08-04
netlink - 用于 Go 的 netlink 库 netlink 包为 go 提供了一个简单的 netlink 库。 Netlinklinux 中用户空间程序用来与内核通信的接口。 它可用于添加和删除接口、设置 ip 地址和路由以及配置 ipsec。 Netlink 通信需要提升权限,因此在大多数情况下,此代码需要以 root 身份运行。 由于低级 netlink 消息充其量是难以理解的,因此该库尝试提供一个 api,该 api 松散地模仿了 iproute2 提供的 CLI。 诸如ip link add类的操作将通过类似命名的函数(如 AddLink())来完成。 这个库是netlink 功能的一个分支,但经过大量重写以提高可测试性、性能并添加新功能,如 ipsec xfrm 处理。 本地构建和测试 您可以使用 go get 命令: go get github.com/
Linux监控应用程序启动 (hook execve系统调用)
weixin_42915431的博客
05-27 3713
​ 对于linuxx86-64平台,hook普通的系统调用是一件比较简单的事情,可以看hook系统调用完整实例讲解。但是对于execve、fork、clone等这些系统调用的hook却并没那么简单了。本文详细展示如何hook execve系统调用,针对rhel/centos 5.x 6.x 7.x 8.x发行版默认内核版本上测试正常。
NetlinkLinux内核提供的一种用于内核与用户空间进程之间通信的机制。
最新发布
qq_34399969的博客
12-14 763
NetlinkLinux内核提供的一种用于内核与用户空间进程之间通信的机制。它允许内核向用户空间发送消息,同时也可以接收用户空间的请求并做出相应的响应。
Linux 监控进程创建行为
小立仔
03-22 1305
本文简单描述了Linux 监控进程创建行为
Rootkit检测技术发展现状
sangfor_edu的博客
04-14 1643
Rootkit 这一概念最早出现于上个世纪九十年代初期,CERT Coordination Center(CERT/CC) 于1994年在 CA-1994-01 这篇安全咨询报告中使用了 Rootkit 这个词汇。在这之后 Rootkit 技术发展迅速,这种快速发展的态势在 2000 年达到了顶峰。2000年后,Rootkit 技术的发展也进入了低潮期,但是对于 Rootkit 技术的研究却并未停滞。在 APT 攻击日益流行的趋势下,Rootkit 攻击和检测技术也同样会迎来新的发展高潮。 在往期的Roo
Linux netlink之添加一个简单协议
08-23 3405
一、netlink简介 netlink协议是一种基于socket的IPC机制,可用于内核与用户空间进程、用户空间进程与用户空间进程通信。netlink协议基于BSD socket和AF_NETLINK地址簇(address family),使用32位的端口号寻址(以前称作PID),每个netlink协议(或称作总线,man手册中则称之为netlink family),通常与一个或一组内核服务
linux 进程创建 进程启动 监控
whatday的专栏
03-20 2143
0x00 简介 在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到新进程创建的信息能帮助我们快速地定位攻击行为。 本文将介绍一些常见的监控进程创建的方式,包括其原理、Demo、使用条件和优缺点。行文仓促,如果有哪些错误和不足,还望大家批评指正。 0x01 常见方式 目前来看,常见的获取进程创建的信息的方式有以下四种: 1、S...
netlink 学习笔记 3.8.13内核
wangpengqi的专栏
08-15 6225
网上有很多netlink的教程,但多针对2.6.*的内核,3.8.13内核的netlink API做了很多改动,但总体上差不多 学习netlink除了看别人的教程,感觉要写出个能跑的程序还得自己去读内核代码,就比如netlink_kernel_create这个函数,各版本间有很大不同,如2.6.18和2.6.34都不同,教程上的代码只能作参考 下面主要写一下3.8.13内核相比2.6.
linux netlink
07-08
### 回答1: Linux Netlink 是一种用于内核与...总的来说,Linux Netlink提供了一个灵活、高效的通信机制,有效地实现了内核和用户空间之间的信息交互。它在很多情况下被广泛应用,如网络管理工具、性能监控工具等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值