6

Python (理想的には) または bash で始まる「X」という名前の新しいプロセスを監視する方法はありますか? 実行中のプロセスを確認できることはわかっていますが、それは私のニーズに対して十分な速度ではありません。私が考えることができる唯一の考えは、新しいプロセスにフックしてそれを登録する方法ですが、どのように?

背景: 私は CCDC チーム ( http://www.nationalccdc.org/ ) の一員であり、ブルー チームに所属しています。コンテストの前提は、学生にネットワークを提供してプロのペン テスターから防御し、次世代のセキュリティ専門家がより優れたものになるようにすることです。私がやりたいのは、この python スクリプトを Linux ボックスにロードし、実行中の特定のコマンドを監視することです。これは、おそらく「chattr」コマンドなど、レッド チームによってのみ使用される可能性があります。理想的には、監視するプロセスのリストをスクリプトに提供できるようにしたいと考えています。その部分は理解できますが、プロセスの生成を監視する方法がわかりません。

どんな方向でも大歓迎です。ありがとうございました。

4

2 に答える 2

4

完全に稼働している Linux システムで何らかの方法でプロセスが開始されたときに、root 権限を持たないプロセスに通知する方法を私は知りません。ポーリングの速度が十分でない場合は、深刻なハッキングを行う必要があります。

ルートを取得している場合、これは可能です。そうじゃないと見えない。

root を使用すると、必要な通知を提供するforkおよびシステム コールのシステム全体の置換を設定できます。execこれはカーネルにある可能性もあれば、LD_PRELOADハックである可能性もあります。

これは Python だけに当てはまるわけではありません。inotifyCプログラムでも「プロセス作成用」は知りません。

于 2012-02-05T05:37:50.850 に答える
1

私はこのアイデアをテストしていませんが、Linux では、各プロセスの下にディレクトリが与えられ/proc/<it's process id>/ます。これは単なる考えです。お役に立てば幸いです。/proc/proc/<dir>/cmdline

于 2012-02-05T06:08:09.900 に答える