linux-l: module

Jan-Benedict Glaw jbglaw at lug-owl.de
Mi Nov 22 09:57:22 CET 2000 

On Wed, Nov 22, 2000 at 09:25:52AM +0100, Steffen Dettmer wrote:
> * Jan-Benedict Glaw wrote on Tue, Nov 21, 2000 at 12:28 +0100:
> > On Tue, Nov 21, 2000 at 12:40:46AM +0100, Ulrich Wiederhold wrote:
> > > > ...und nach dem kaputten binary solltest Du suchen;)
> > > Wie denn das?

> > Beobachten, welche Programme gerade gestartet haben, wenn diese Meldung
> > auftritt. Alternativ kannst Du Dir ein Mini-Programm schreiben, daß
> > die Erkennung eines binaries nachbildet. Tip: ./linux/fs/exec.c:
> 
> Also, ich hab das nicht verstanden, was Du damit meinst.

Der Kernel läd ein paar Byte vom Anfang des binaries. Anhand dieser
ersten Bytes wird der Typ erkannt. Wenn das binary nun keinem
bisher bekannten Typ entspricht, dann wird (in dem Code-Stück,
das ich mitgeschickt hatte) versucht, ein binary format handler
über request_module() zu laden. Der Name dieses Gebildes ist
"binfmt-XXXX", wobei XXXX die "druckbar" gemachten ersten Bytes
des Programmes sind. Diese 4 char's, die nun gesucht werden, lassen
sich im userspace auch berechnen;) Also kannst Du ein Simpel-Programm
schreiben, daß einfach einmal das gesamte Dateisystem abgrast, und
alle als executable gekennzeichneten Dateien untersucht, ob sie
die 4 Zeichen ergeben, die Du in Deinem Syslog gefunden hast.

[exec-Modul]

Hmmm. Gleich mit so 'nem Totschläger anfangen? Läßt sich das nicht
vielleicht viel schneller mit ein paar ganz wenigen printk()-Zeilen
in ./linux/fs/exec.c:sys_execve() machen?

MfG, JBG

-- 
Fehler eingestehen, Größe zeigen: Nehmt die Rechtschreibreform zurück!!!
/* Jan-Benedict Glaw <jbglaw at lug-owl.de> -- +49-177-5601720 */
keyID=0x8399E1BB fingerprint=250D 3BCF 7127 0D8C A444 A961 1DBD 5E75 8399 E1BB
     "insmod vi.o and there we go..." (Alexander Viro on linux-kernel)
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 240 bytes
Beschreibung: nicht verfügbar
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20001122/500f1648/attachment.sig>

Mehr Informationen über die Mailingliste linux-l