Syswall je nový vývoj zameraný na vytvorenie podobnosti dynamického firewallu na filtrovanie prístupu aplikácií k systémovým hovorom. Kód projektu je napísaný v jazyku Rust, licencia nie je uvedená.
Tento nový vývoj Vyzerá to ako interaktívna verzia sledovacieho nástroja a umožňuje vám sledovať každé systémové volanie uskutočnené programom. Kľúčový rozdiel je v tom, že okrem zobrazenia informácií o systémových hovoroch a výsledkoch ich vykonania.
O spoločnosti Syswall
syswall podporuje interaktívny režim v ktorom je monitorovaný proces zastavený pred uskutočnením systémového volania a užívateľ je požiadaný, aby v operácii pokračoval alebo ju ignoroval (môžete napríklad sledovať pokusy o otvorenie každého súboru alebo procesu sieťového pripojenia).
Syswall môže tiež zhromažďovať štatistické údaje o uskutočnených systémových hovoroch a generovať z nich správu.
Ciele syswall sú nasledujúce:
na poskytujú vylepšenú verziu strace čo je jednoduchšie na určenie toho, čo softvér vlastne robí.
Poskytnite prostredie na testovanie a experimentovanie so softvérom tým, že umožníte podrobný a interaktívny prístup k povoľovaniu a odmietaniu systémových volaní.
Každý proces môže mať konfiguračný súbor
Pre každý proces, sMôžeme pripojiť konfiguračný súbor so zoznamom výslovne povolených alebo blokovaných systémových hovorov.
Pre podporované hovory umožňuje syswall používateľovi vykonať nasledujúce akcie:
- Syscall povoľte raz
- Vždy povoľte konkrétny systémový hovor
- Blokujte telefónny hovor raz (tvrdý alebo mäkký)
- Vždy zablokujte konkrétny systémový hovor (tvrdý alebo mäkký)
- Pri blokovaní môže program vykonať blok (tvrdý alebo mäkký).
Počas interaktívnej relácie je možné povoliť alebo zablokovať konkrétne systémové volania v čase behu a akékoľvek volania na toto systémové volanie bez ohľadu na to, kde je k programu prístup.
Blokovanie je podporované v „tvrdom“ a „mäkkom“ režime.
Typy zámkov
V prvom prípade sa systémové volanie nevykoná a do procesu sa odošle kód chyby prístupu. V druhom prípade sa tiež nevykoná systémové volanie, ale proces dostane fiktívny úspešný návratový kód, ktorý simuluje úspešné vykonanie systémového volania.
Napríklad v súčasnosti je podporovaná iba analýza systémových volaní týkajúcich sa operácií so súbormi.
Pevný blok zabráni spusteniu systému Syscall a vráti chybu podriadeného procesu podriadenému procesu. Na druhej strane mäkký zámok bráni systému Syscall, ale pokúša sa vrátiť primeranú odpoveď na podradený proces, aby predstieral, že sa systémový hovor skutočne vykonal.
V takom prípade sa žiadosti o potvrdenie zobrazia, iba ak sa týkajú špeciálne volaných alebo predtým chýbajúcich systémových hovorov.
Uložte a načítajte konfiguráciu procesu.
Možnosti vykonané počas vykonávania je možné uložiť do súboru JSON. Tento súbor je možné načítať počas iného spustenia, aby sa využili vyššie uvedené možnosti.
Toto je prebiehajúca práca - vždy sa uložia iba povolené / blokované odpovede.
informácie
Keď sa podradený proces dokončí, syswall vydá krátku správu o systémových volaniach podradeného procesu. V súčasnosti sa skladá zo všetkých otvorených alebo zamknutých súborov, ale v budúcich vydaniach bude rozšírená.
Projekt je stále v štádiu funkčného prototypu a nie sú realizované všetky koncipované možnosti.
Stále je čo rozvíjať
Pre projekt existuje veľký zoznam úloh, v budúcnosti sa plánuje pridať podporu pre ďalšie triedy systémových volaní,schopnosť overiť, s prihliadnutím na argumenty odovzdané do systémového volania, prostriedky uloženia stavu procesu do súboru na neskoršie porovnanie činnosti počas rôznych spustení programu (napríklad na porovnanie zoznamov súborov a pripojení k sieti), možnosť ignorovať načítanie dynamických knižníc a podporovať typickú sadu nastavení (napríklad uzamknúť všetky zásuvky, ale povoliť prístup k súborom).