"탈옥된" 프로그램을 추적할 수 있나요?

"탈옥된" 프로그램을 추적할 수 있나요?

프로세스가 실제로 다른 프로세스를 방해할 수 있는 경우 이를 추적할 수 있습니까? 통과감옥 휴식, 내 말은 한 프로세스가 다른 프로세스와 직접 상호 작용하는 것을 방지하는 가상화 문제를 극복한다는 의미입니다.

답변1

돌파가 어떻게 이루어지느냐에 따라 달라집니다.

탈옥에 대해 이야기하는 경우 chroot()프로세스의 PID는 변경되지 않으며 이와 유사한 것은 strace문제 없이 추적을 생성해야 합니다.

커널이나 하드웨어 약점을 악용하여 위반이 발생한 경우 악용을 통해 감옥에 갇힌 프로세스를 추적하려는 시도는 매우 이상한 결과를 낳거나 추적 도구 및/또는 가상 머신을 완전히 충돌시킬 수도 있습니다. 가능합니다. 악용으로 인한 "구멍"을 채울 것입니다.

또는 어셈블러 수준에서 악용이 발생하면 전혀 등록되지 않을 수도 있습니다 strace. strace주로 흔적을 기억하세요시스템 호출 및 신호: 익스플로잇은 먼저 특정 방식으로 메모리에 일부 코드를 준비한 다음 매우 특정한 일련의 어셈블러 수준 작업을 수행할 수 있으며, 이 작업 중 하나에서는 시스템 호출이 필요하지 않을 수 있습니다. 이를 확인하려면 gdb개별 CPU 명령을 단계별로 실행할 수 있는 디버거(또는 유사한)를 사용해야 합니다. 심지어 버그 간 추적 동작으로 인해 버그가 예상대로 작동하지 않을 수도 있습니다.

관련 정보