Syswall este o nouă dezvoltare care vizează crearea unei similitudini cu un firewall dinamic pentru a filtra accesul aplicațiilor la apelurile de sistem. Codul proiectului este scris în limba Rust, licența nu este specificată.
Această nouă dezvoltare arată ca versiunea interactivă a utilitarului strace și vă permite să urmăriți fiecare apel de sistem efectuat de program. Diferența cheie este că, pe lângă afișarea informațiilor despre apelurile de sistem și rezultatele executării acestora.
Despre Syswall
syswall acceptă modul interactiv în care procesul monitorizat este oprit înainte de a efectua un apel de sistem iar utilizatorul este rugat să continue sau să ignore operațiunea (de exemplu, puteți monitoriza încercările de a deschide fiecare fișier sau proces de conectare la rețea).
Syswall poate colecta, de asemenea, statistici privind apelurile de sistem efectuate și poate genera un raport pe baza acestuia.
Obiectivele syswall sunt următoarele:
la furnizați o versiune îmbunătățită a strace ceea ce este mai ușor de determinat ce face software-ul.
Oferiți un mediu pentru testare și experimentare cu software-ul, permițând o abordare detaliată și interactivă pentru a permite și respinge apelurile de sistem.
Fiecare proces poate avea un fișier de configurare
Pentru fiecare proces, sPot conecta un fișier de configurare cu o listă de apeluri de sistem permise sau blocate explicit.
Pentru apelurile acceptate, syswall permite utilizatorului să efectueze următoarele acțiuni:
- Permiteți syscall o dată
- Permiteți întotdeauna acea solicitare specială
- Blocați syscall o dată (greu sau moale)
- Blocați întotdeauna acel syscall anume (greu sau moale)
- Când blocați, programul poate efectua un bloc (dur sau moale).
În timpul sesiunii interactive, este posibil să permiteți sau să blocați anumite apeluri de sistem în timpul rulării și orice apeluri la acest apel de sistem, indiferent de locul în care este accesat programul.
Blocarea este acceptată în modurile „hard” și „soft”.
Tipuri de încuietori
În primul caz, apelul de sistem nu este executat și codul de eroare de acces este trimis procesului. În cel de-al doilea caz, apelul de sistem nu este de asemenea executat, dar procesul primește un cod de returnare fictiv de succes, care simulează executarea cu succes a apelului de sistem.
De exemplu, în acest moment, este acceptată doar analiza apelurilor de sistem legate de operațiile de fișiere.
Un blocaj dur împiedică executarea syscall și returnează o eroare permisă refuzată procesului copil. Pe de altă parte, o blocare soft previne syscall-ul, dar încearcă să returneze un răspuns adecvat procesului copil pentru a pretinde că syscall-ul a fost efectiv executat.
În acest caz, cererile de confirmare vor fi afișate numai atunci când se referă la apeluri de sistem special formate sau lipsă anterior.
Salvați și încărcați o configurație de proces.
Opțiunile făcute în timpul execuției pot fi salvate într-un fișier JSON. Acest fișier poate fi încărcat în timpul unei alte rulări, astfel încât să fie utilizate opțiunile de mai sus.
Aceasta este o lucrare în curs - vor fi salvate întotdeauna numai răspunsurile permise / blocate.
informații
Când procesul copil se termină, syswall va emite un scurt raport despre apelurile sistemului de procesare copil. În prezent, este format din toate fișierele deschise sau blocate, dar va fi extins în versiunile viitoare.
Proiectul este încă în stadiul unui prototip funcțional și nu se realizează toate posibilitățile concepute.
Mai sunt încă de dezvoltat
Există o listă mare de sarcini pentru proiect, în viitor se planifică adăugarea de suport pentru clase suplimentare de apeluri de sistem, labilitatea de a verifica, luând în considerare argumentele transmise apelului de sistem, mijloacele de salvare a stării procesului într-un fișier pentru compararea ulterioară a activității în timpul lansărilor diferite de programe (de exemplu, pentru a compara listele de fișiere și conexiunile de rețea), opțiunea pentru a ignora încărcarea bibliotecilor dinamice și acceptarea setului tipic de setări (de exemplu, blocați toate soclurile, dar permiteți accesul la fișiere).