keylogger소스를 바탕으로 실험을 해봤는데여.. 키보드 lock걸었
콘솔 키보드가 사용자 입력을 처리하는 과정이 아래와 같다고 배웠습니다.
handle_scancode ----(put_queue)----> tty_queue ---(receive_buf )-
---> tty_ldisc buffer ---(tty_read) ----> /dev/ttyX ----(sys_read )----
---> user process
생각보다 과정이 심플~ 해서 한번 실험을 해 보았습니다.
***** 여기서부터는 저만의 상상의 나래입니다. ^^;; ******
키보드에서 사용자가 입력을 하면 어차피 키보드에서 값을 읽어와야 하기 때문에 sys_read()를 도중에 래핑하여 buf값을 NULL로 주면 될것같군.. 흐흐흐
그래서 my_read( , char *buf, ) { ... buf = NULL; return ... }
역시 생각데로 안..되더군여!! -_-;;
그래서 이번엔 좀더 밑단으로 내려가서 tty_read를 건드려 보려고, 몇일을
검색하며 그나마 괜찮은 자료중의 하나가 keylogger이었습니다.
시스템콜과 tty로 접근을 하면 가능할것 같더군여..
int (*org_open)(const char *filename, int flag, int mode);
void (*old_receive_buf)(struct tty_struct *tty, const unsigned char *cp,
char *fp, int count);
void new_receive_buf (struct tty_struct *tty, const unsigned char *cp,
char *fp, int count)
{
/* linux/tty_ldisc.h 에서 <cp>는 디바이스에 의해 받아진
input character의 buffer pointer라고 명시 돼어 있었습니다.
그래서.. 아주 심플하게..밑에처럼.. -_-;;
*/
cp = NULL;
}
void mt_tty_open()
{
struct tty_struct *tty;
struct file *file;
//우선 시스템콜로 표준 터미널 장치인 "/dev/tty" 를 열었습니다.
int fd = (*org_open)("/dev/tty", O_RDONLY, 0);
file = fget(fd);
tty = file->private_data;
//이렇게 tty를 접근후..
old_receive_buf = tty->ldisc.receive_buf;
tty->ldisc.receive_buf = new_receive_buf;
}
int init_module()
{
org_open = sys_call_table[__NR_open];
my_tty_open();
return 0;
}
다른 많은 방식처럼..이것도 역시 segmentation fault 에러가 나더군여..
모듈업할때 단지 한번 저렇케 바꾸어 주는건 의미가 없다는 것은 아는데요.
이 단계가 통과를 해야 sys_read()와 연관을 지어서 어케 해보던가 하겠는데,,
잘 안돼는군요..
제가 어떤 개념을 잘못 잡았는지 짚어주셨음....
그리고 이렇케 무작적 갈켜달라는 질문 안좋아들 하시는거 아는데여..
혹시 다른 방식으로 키보드를 안먹히게 하는 방법은 있나요??
그간에 고생 많았습니다.. 그냥 질문한게 아니라 해보다 해보다 안돼서리..ㅠ.ㅠ
키보드 lock & unlock~
제가 잡아야할 실마리좀 던져주세여...
tty->ldisc.read() 함수를 wrapping 하는 것이 좋을듯 합니다
해보지 않아서 확실히는 모르겠지만 8)
tty->ldisc.read() 함수에서 0 을 리턴하도록 하면 되지 않을까 싶군요
receive_buf 함수를 후킹할 시에..new_receive_
receive_buf 함수를 후킹할 시에..
new_receive_buf 함수 부분에
아무런 처리도 하지 않는다면..
결국 origianl tty receive_buf 함수는 실행되지 않기 때문에
아무런 처리도 되지 않지 않을까여?
댓글 달기