リアルタイムスキャンの動作概要(Dazukoの場合)について - F-Secure Community
<main> <article class="userContent"> <div> <p>リアルタイムスキャン時(Dazukoを使用する場合)に関する主なモジュールとその関係は以下の図の<wbr></wbr>ようになります。</p> <p>この図では、ファイルを開いた場合の処理の流れの概要も示しており、以下のような流れになります。</p> <p> </p> <p><img src="https://us.v-cdn.net/6032052/uploads/lithium_attachments/8137i76C61BB81B481994.jpg" alt="Dazuko.jpg" title="Dazuko.jpg" class="embedImage-img importedEmbed-img"></img></p> <p> </p> <p>①.アプリケーションはlibcを通じてopenシステムコールを呼び出します。<br>②.カーネルモジュールは、システムコールテーブル中のopenシステムコールのアドレスを 置き換えることで、&#11;アプリケーションからのopenシステムコール呼び出しを受け取ります。<br>③.fsoasd_bhプロセスは自分自身をカーネルモジュールに登録し、ファイルアクセスがあった場合にカーネルモジュールからメッセージを受け取ります。 <br>④.fsoasd_bhプロセスは、fsoasd_thプロセスに要求を伝えます。<br>⑤.fsoasd_thは、fsavd(ウィルス検査デーモン)に、openされるファイルの検査を要求します。<br>⑥.fsavdはウィルス検査を行い、結果をfsoasd_thに返します。<br>⑦.fsoasd_thはfsoasd_bhに結果を返します。<br>⑧.fsoasd_bhはカーネルモジュールに結果を返します。<br>⑨.ウィルス検出などがなければ、本来のLinuxのopen()システムコールを呼び出して制御をアプリケーションに戻します。&#11;<br> ウィルスなどを検出した場合、本来のLinuxのopen()システムコールは呼び出さずにアプリケーションにエラーを返します。</p> <p> </p> <p>&#11;なお、システムコールテーブルの置き換えは以下のシステムコールに対して行っています。<br>&#11;- open &#11;<br>- dup <br>&#11;- dup2 <br>&#11;- close <br>&#11;- execve</p> </div> </article> </main>
