Interception efficace des appels système Linux : au-delà des inefficacités de ptrace
2025-01-05
Cet article présente une méthode plus efficace pour intercepter les appels système Linux que ptrace : seccomp user notify. En utilisant des filtres BPF, il ne renvoie que pour les appels système souhaités, réduisant ainsi considérablement la surcharge de performance. L’auteur utilise son outil, copycat, comme exemple, montrant comment intercepter les appels système open() pour réaliser le remplacement de fichiers. L’article détaille le mécanisme seccomp user notify, y compris la création de filtres BPF et la gestion des arguments d’appel système. La sécurité et les problèmes potentiels, tels que les attaques TOCTOU, sont également abordés.
Lire plus
Développement
Appels Système