Сисвалл је нови развој намењен стварању сличности динамичког заштитног зида за филтрирање приступа апликација системским позивима. Код пројекта написан је на језику Руст, лиценца није наведена.
Овај нови развој изгледа као интерактивна верзија услужног програма за праћење и омогућава вам праћење сваког системског позива који је упутио програм. Кључна разлика је у томе што, поред приказивања информација о системским позивима и резултатима њиховог извршавања.
О Сисвалл-у
Сисвалл подржава интерактивни режим у којој се надгледани процес зауставља пре упућивања системског позива а од корисника се тражи да настави или игнорише операцију (на пример, можете пратити покушаје отварања сваке датотеке или процеса мрежне везе).
Сисвалл такође може да прикупља статистику о обављеним системским позивима и на основу тога генерише извештај.
Циљеви сисвалл-а су следећи:
у обезбедите побољшану верзију страцеа што је лакше утврдити шта софтвер заправо ради.
Обезбедите окружење за тестирање и експериментисање са софтвером омогућавањем детаљног и интерактивног приступа допуштању и одбијању системских позива.
Сваки процес може имати конфигурациону датотеку
За сваки процес, сМоже да повеже конфигурациону датотеку са листом изричито дозвољених или блокираних системских позива.
За подржане позиве, сисвалл омогућава кориснику да изврши следеће радње:
- Дозволите сисцалл једном
- Увек дозволите тај одређени сисцалл
- Блокирај сисцалл једном (тврдо или меко)
- Увек блокирај тај одређени сисцалл (тврди или меки)
- Када блокира, програм може извршити блокаду (тврду или меку).
Током интерактивне сесије могуће је дозволити или блокирати одређене системске позиве у време извођења и било које позиве овом системском позиву, без обзира на то где се програму приступа.
Блокирање је подржано у „тврдом“ и „меком“ режиму.
Врсте брава
У првом случају, системски позив се не извршава и процес се шаље шифра приступне грешке. У другом случају, системски позив се такође не извршава, али процес прима фиктивни успешни повратни код, симулирајући успешно извршавање системског позива.
На пример, тренутно је подржана само анализа системског позива која се односи на операције датотека.
Чврсти блок спречава извршење сисцалл-а и враћа детету грешку одбијену дозволу. С друге стране, меко закључавање спречава сисцалл, али покушава да врати одговарајући одговор на подређени процес да би се претварао да је сисцалл заправо извршен.
У овом случају, захтеви за потврду биће приказани само када се односе на посебно биране или претходно пропуштене системске позиве.
Сачувајте и учитајте конфигурацију процеса.
Избори направљени током извршавања могу се сачувати у ЈСОН датотеци. Ова датотека се може учитати током другог покретања тако да се користе горе наведене опције.
Ово је у току - увек ће бити сачувани само дозвољени / блокирани одговори.
информације
Када се процес детета заврши, сисвалл ће издати кратак извештај о системским позивима детета процеса. Тренутно се састоји од свих отворених или закључаних датотека, али ће се проширити у будућим издањима.
Пројекат је још увек у фази функционалног прототипа и нису остварене све замишљене могућности.
Треба још много тога развити
Постоји велика листа обавеза за пројекат, у будућности се планира додати подршка за додатне класе системских позива, лмогућност провере, узимајући у обзир аргументе прослеђене системском позиву, начин чувања стања процеса у датотеку за касније упоређивање активности током различитих покретања програма (на пример, за упоређивање спискова датотека и мрежних веза), опција занемарити учитавање динамичких библиотека и подржати типични скуп поставки (на пример, закључати све утичнице, али дозволити приступ датотекама).