Как на счет хардварных вотчпоинтов? Как на счет софтварных вотчпоинтов? На линуксе можно свой процесс окутать в ptrace - программируемый отладочный инструмент
Имхо, компилиться нужно вообще через самый обычный `cc`. А всякие там struct_module и прочие выставляются ручками, прямо в коде.
И те и другие можно заранее задетектить и снять при надобности (а потом поставить как было). В частности авер осведомлен о них.
Это про винду, верно? На пингвине трейсить один процесс может только один другой процеес. Ну на сколько я знаю во всяком случае. Хотя, по идее, можно трейсить процесс, который трейсит другой процесс. А вот на счет памяти - в ядерном контексте есть ftrace и kprobes. С их помощью можно обойти гипервизор, который чекает хешсуммы R-X сегментов, куда замапленно ядро. Ну, разумеется, и доступ к памяти тоже можно отловить. Вообще, я не уверен, но мне кажется, что можно через PTE попробовать такой доступ захендлить. Или через мьютекс, если память замапленна в файловое представление.
Ага. На Линухе даже не знаю такой задачи, зачем бы это могло понадобиться. И... Инде не любит Линух (Ну я бы сказал что это потому что он его не умеет юзать, но Инде будет это категорически отрицать ) Можно и через PTE. Но там есть другая проблема: если кто-то к тебе забрался и получил рутовые права - там открывается столько возможностей что... я просто даже не догадываюсь чем помочь юзеру. Авер внезапно становится бесполезен, какой ушь тут доступ к памяти, когда можно взять да и перекомпилить ядро если захочешь... там сразу вешайся
Да как сказать-то. Гипервизор с касперычем верхом на гипервизоре - вмваре. Подписанное ядро. Safe-boot. Хешсуммы. LKRG воткнутый в ядро до того, как кто-то туда пробрался. Это так чисто первое, чтт пришло в голову)
Звучит красиво сие подписанное ведро, но если на него можно ставить таки какие-то дрова - то через них уже можно начать крестовый поход против касперыча. Х/з. Сложный вопрос ибо сильно теоретический.
