hook 监控文件 c++_技术分享 | Linux 入侵检测中的进程创建监控
作者簡介:張博,網易高級信息安全工程師。
0x00 簡介
在入侵檢測的過程中,進程創建監控是必不可少的一點,因為攻擊者的絕大多數攻擊行為都是以進程的方式呈現,所以及時獲取到新進程創建的信息能幫助我們快速地定位攻擊行為。
本文將介紹一些常見的監控進程創建的方式,包括其原理、Demo、使用條件和優缺點。行文倉促,如果有哪些錯誤和不足,還望大家批評指正。
0x01 常見方式
目前來看,常見的獲取進程創建的信息的方式有以下四種:
- So preload
- Netlink Connector
- Audit
- Syscall hook
下面我們就從原理、Demo、使用條件和優缺點來了解一下這四種方式。
0x02 So preload
原理
首先跟大家介紹兩點基礎知識:
1.Linux 中大部分的可執行程序是動態鏈接的,常用的有關進程執行的函數例如 execve均實現在 libc.so 這個動態鏈接庫中。
2.Linux 提供了一個 so preload 的機制,它允許定義優先加載的動態鏈接庫,方便使用者有選擇地載入不同動態鏈接庫中的相同函數。
結合上述兩點不難得出,我們可以通過 so preload 來覆蓋 libc.so 中的 execve等函數來監控進程的創建。
Demo
下面我們就來實現一個簡單的 demo 。
1.創建文件 hook.c ,內容如下:
#define _GNU_SOURCE
#include
#include
#include
typedef ssize_t (*execve_func_t)(const char* filename, char* const argv[], char* const envp[]);
static execve_func_t old_execve = NULL;
int execve(const char* filename, char* const argv[], char* const envp[]) {
printf("Running hook");
printf("Program executed: %s
總結
以上是生活随笔為你收集整理的hook 监控文件 c++_技术分享 | Linux 入侵检测中的进程创建监控的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: oracle对查询结果求和_oracle
- 下一篇: python中使用opencv_如何在P