kiraskyler

@gullitintanni 我又分析了第一题：linux 面试题：Ctrl+Alt+Fx 切换 tty 这个功能是在哪里实现的？ https://blog.csdn.net/weixin_42544902/article/details/149806468

1 、静态编译，不是用 ld
2 、使用自己的 ld ，elf 中的 ld 路径填自己的，ld 中取消`ld_preload`等功能
3 、启动前先 ptrace 自己防止被 ptrace

这些方法可行吗

@imes 大佬，小主机日常有噪音不，放在手边能听到吗

@gullitintanni 学到了，确实是这样，这道题确实没有意思，考察不出来什么

Linux 上 Ctrl+Alt+Fx 切换 tty 这个功能是在哪里实现的？如何修改快捷键？ 如果让你写个程序从而 ./changetty 3 切换到 tty3 你如何实现？


ctrl+alt+fx 这一块内核代码没看过

切换 tty
可以直接 open("/dev/tty/3")得到文件描述符，dup 将现在的标准输入输出转发到 tty3 即可。但是否影响其他 tty3 用户未知。可以先遍历/proc/<pid>/fd 看看有没有进程使用 tty3 ，没有了再切换

@kiraskyler elf 签名机制还有纯用户态的方案，比如大多数 elf 都会使用动态库，一般也都使用 ld 作为链接器，这类 elf 启动时的入口是 ld ，可以在 ld 的源码里加校验。也可以使用 LD_PRELOAD 形式附加一个我们自己写的程序，并使用__attribute__((constructor))形式让一个函数提前于 main 函数执行，也可以做到校验功能，但这两种方法都对完全不使用 ld 链接器的程序无效，纯静态编译或指定链接器可以跳过此方法，这类程序的 elf 入口点直接指向本程序。但只让是使用 ld 的 elf ，用户态方案也都没问题，且用户态即使 root 执行也没办法（除非替换 ld/修改环境变量等）

这两个问题我回答一下，v 站大佬多，有不对的多多指点：

- 如果让你调试一个 core dump ，但是没有 debug symbol 也没有源码，你的思路是什么？

gdb -c ，gdb 进入环境，敲 bt ，即使没有 debug symbol ，也可以看到每一层栈的地址，根据 info proc mappings 查看进程中已映射的动态库的地址位置，每一层栈都可以找到具体在哪个动态库，在动态库中的偏移，readelf -s -W 动态库可以找到符号在动态库中的位置。
简而言之，这道题考察的是手动栈回溯。
如果是 dwarf 的栈记录形式，一般面试不会问这个，dwarf 太复杂了，几十页标准，如果是不省略帧指针的站回溯，每一层栈都会先压栈 rbp 寄存器，甚至可以已知寄存器值就自己栈回溯。

如何在 Linux 中实现在执行程序时校验签名的机制？你这样实现，用户有办法绕过么？ 有没有一种实现方法，即使用户有 root 权限也无法绕过？

- linux 内核里，execve 执行程序，每一种类型都有对应的内核模块，比如 elf 文件内核模块，"#!"开头的脚本也有内核模块跳转。可以通过在 elf 内核模块中添加校验。但是这种方式侵入性，写不好了可能内核会 dump ，也可以找到合适的位置，ebpf 方式 hock 内核，校验失败给进程发信号方式阻止运行，缺点是 ebpf 的 api 太少，不能自己读取内核文件，必须找到内核模块读取到校验信息的位置 hock 才可以。ebpf 方式也许用户态可以有办法停止，内核模块较难，卸载 elf 模块所有程序都不能运行了。

@JieS 赶紧看看是不是填错了

0.73 略惨