这是一个创建于 3318 天前的主题,其中的信息可能已经有所发展或是发生改变。
举个栗子, 比如 linux 里面输入 ls 命令,系统先读取 ls 的 ELF 。
然后启动进程,完成 ls 的功能,退出进程。
我想在 ls 的 ELF 被读取的时候就检测到, 有什么办法吗? 可以自己写一点代码、脚本什么的,但是请给个思路。
 |
1
zix 2015-10-16 12:18:38 +08:00
如果是命令行执行的程序,应该都会有历史记录吧,像 bash 都是写在 .bash_history 里的,我觉得监控这个文件的写入就 OK 了。
|
 |
2
Comphuse 2015-10-16 12:38:46 +08:00 via iPhone
man auditctl
|
 |
3
onlyxuyang 2015-10-16 14:55:30 +08:00 via Android
改 libc 拦系统调用……
|
Select Language