효율적인 Linux 시스템 콜 인터셉션: ptrace의 비효율성 극복

2025-01-05

본 글에서는 ptrace보다 효율적인 Linux 시스템 콜 인터셉션 방법인 seccomp user notify를 소개합니다. BPF 필터를 사용하여 원하는 시스템 콜에 대해서만 결과를 반환함으로써 성능 오버헤드를 크게 줄입니다. 저자는 자신의 도구인 copycat을 예로 들어 open() 시스템 콜을 인터셉트하여 파일을 교체하는 방법을 보여주고, seccomp user notify의 메커니즘, BPF 필터 생성, 시스템 콜 인수 처리 등을 자세히 설명합니다. TOCTOU 공격 등의 보안 문제도 논의됩니다.

개발 시스템 콜