Interceptação eficiente de chamadas de sistema Linux: além das ineficiências do ptrace
2025-01-05
Este artigo apresenta um método mais eficiente para interceptar chamadas de sistema Linux do que o ptrace: seccomp user notify. Aproveitando filtros BPF, ele retorna apenas para as chamadas de sistema desejadas, reduzindo significativamente a sobrecarga de desempenho. O autor usa sua ferramenta, copycat, como exemplo, mostrando como interceptar chamadas de sistema open() para realizar a substituição de arquivos. O artigo detalha o mecanismo seccomp user notify, incluindo a criação de filtros BPF e o tratamento de argumentos de chamada de sistema. Segurança e problemas potenciais, como ataques TOCTOU, também são discutidos.
Leia mais
Desenvolvimento
Chamadas de Sistema