Как проверить, есть ли в источнике C ++ какие-либо системные вызовы?

Question

Как проверить, есть ли в источнике C ++ какие-либо системные вызовы?

0

Я пытаюсь разработать структуру, которая будет компилировать и выполнять (в основном случайные) C++ и Java-пакеты.

Однако, учитывая их случайный характер, я хочу проверить исходный код (или исполняемый файл - предварительное исполнение) для любых системных вызовов linux перед выполнением. Если есть такой системный вызов, я не хочу выполнять программу.

Можно с уверенностью предположить, что эти пакеты не потребуют каких-либо системных вызовов для выполнения их функционального назначения (они не являются сложными пакетами).

Изменить: команда bash/script будет простейшей, но любой ответ будет прекрасен.

jab 17 авг. 2014, в 21:25

Источник

4

Я считаю, что grep это то, что вы ищете.
101010 17 авг. 2014, в 18:55
3

Если кто-то хочет намеренно скрыть системный вызов, я сомневаюсь, что вы можете сделать что-нибудь, чтобы предотвратить это. Вы должны посмотреть (как минимум) на запуск программ в изолированной тюрьме с ограниченными (или отсутствующими) библиотеками. Также проверьте этот вопрос .
hyde 17 авг. 2014, в 18:58
0

@40two 40 два Да, я думал, что это будет простой поиск строки.
jab 17 авг. 2014, в 19:00
1

Вы полагаете, что автор кода C не является вредоносным?
Basile Starynkevitch 17 авг. 2014, в 19:00
0

Как насчет случая, когда было сделано определение для скрытия системного вызова, как насчет случаев, когда system не используется, но используется любой другой метод exec , а как насчет случаев, когда строка выполнения вычисляется во время выполнения?
Tommy Andersen 17 авг. 2014, в 19:08
1

Если вы серьезно относитесь к этому, вы можете узнать, как использовать пользовательский libc и, таким образом, предотвратить системные вызовы во время соединения. См. Stackoverflow.com/questions/10763394/… . Это будет очень сложно, хотя.
Christian Hackl 17 авг. 2014, в 19:28
0

Интересно, насколько хорошо сработает преднамеренное запутывание, если он скомпилирует код и будет искать соответствующие вызовы библиотеки или системные вызовы в двоичном дампе?
Leeor 17 авг. 2014, в 19:34

Показать ещё 5 комментариев

Теги:

c++

java

bash

linux

2 ответа

2

Просмотрите ограничения ресурсов (setrlimit, если вы находитесь в системе POSIX), а не пытаетесь найти вредоносный код.

Вы можете ограничить количество процессов, памяти, открытых файлов, cputime и других. Я бы предложил вам ограничить в основном все. И запустите в chroot тюрьме (даже пустой, если вы ставите статично).

virco 17 авг. 2014, в 18:34

Ещё вопросы

Я считаю, что grep это то, что вы ищете.
Если кто-то хочет намеренно скрыть системный вызов, я сомневаюсь, что вы можете сделать что-нибудь, чтобы предотвратить это. Вы должны посмотреть (как минимум) на запуск программ в изолированной тюрьме с ограниченными (или отсутствующими) библиотеками. Также проверьте этот вопрос .
@40two 40 два Да, я думал, что это будет простой поиск строки.
Вы полагаете, что автор кода C не является вредоносным?
Как насчет случая, когда было сделано определение для скрытия системного вызова, как насчет случаев, когда system не используется, но используется любой другой метод exec , а как насчет случаев, когда строка выполнения вычисляется во время выполнения?
Если вы серьезно относитесь к этому, вы можете узнать, как использовать пользовательский libc и, таким образом, предотвратить системные вызовы во время соединения. См. Stackoverflow.com/questions/10763394/… . Это будет очень сложно, хотя.
Интересно, насколько хорошо сработает преднамеренное запутывание, если он скомпилирует код и будет искать соответствующие вызовы библиотеки или системные вызовы в двоичном дампе?

Basile Starynkevitch · Accepted Answer · 2014-08-17T18-09-00.000Z

Короче говоря, вы не можете надежно обнаружить все вредоносные системные вызовы (путем статического анализа исходного кода); читайте о проблеме с остановкой и теореме Райса... BTW MELT будет немного лучше, чем grep поскольку он работает с представлением GCC gimple.

Подумайте (о Linux)

dlopen (3) -ing libc (или основной исполняемый файл), затем dlsym -ing "system" чтобы получить указатель на system функцию
зная макет и версию libc, затем адрес компьютерной system, добавив некоторое известное смещение в адрес malloc
используя некоторые JIT-библиотеки, например, заголовок только GNU-молнии
кодирование eqivalent system с помощью fork и execve....
и т.д....

Конечно, вы можете доверять своему пользователю (я не буду этого делать для веб-приложения). Если вы доверяете всем своим пользователям и просто хотите обнаружить ошибки, вы можете фильтровать некоторые из них.

Вам нужен контейнер, например докер