这是一个创建于 3654 天前的主题,其中的信息可能已经有所发展或是发生改变。
举个栗子, 比如 linux 里面输入 ls 命令,系统先读取 ls 的 ELF 。
然后启动进程,完成 ls 的功能,退出进程。
我想在 ls 的 ELF 被读取的时候就检测到, 有什么办法吗? 可以自己写一点代码、脚本什么的,但是请给个思路。
 | 1 zix 2015-10-16 12:18:38 +08:00 如果是命令行执行的程序,应该都会有历史记录吧,像 bash 都是写在 .bash_history 里的,我觉得监控这个文件的写入就 OK 了。 |
 | 2 Comphuse 2015-10-16 12:38:46 +08:00 via iPhone man auditctl |
 | 3 onlyxuyang 2015-10-16 14:55:30 +08:00 via Android 改 libc 拦系统调用…… |
Select Language