Linux监控文件读写

最新推荐文章于 2026-04-13 12:13:40 发布
原创 最新推荐文章于 2026-04-13 12:13:40 发布 · 5.4k 阅读 · 21 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#hook #监控文件读写 #Linux #deepin

前言

最近想写deepin编程比赛中的文件管控系统。

如何去监测目标文件, 我思考了很久仍没有头绪,翻了翻开发大赛入围名单, 发现马艺诚同学使用了hook方法来监测进程操作目标文件。于是下午试了试, 确实可行(毕竟人家已经做出来了嘛)。下面讲解一下我下午尝试的read检测功能。

正文

废话不多说, 先贴代码。

#include <stdio.h>
#include <string.h>
#include <dlfcn.h>
#include <sys/stat.h>
#include <unistd.h>
#include <sys/types.h>
#include <fcntl.h>

typedef ssize_t (*READ)(int, void *buf, size_t count);
 
ssize_t read(int fd, void *buf, size_t count)
{
  static void *handle = NULL;
  static READ old_read = NULL;
 
  if( !handle )
  {
    handle = dlopen("libc.so.6", RTLD_LAZY);
    old_read = (READ)dlsym(handle, "read");
    char fdaddr[256];
    sprintf(fdaddr, "/proc/%d/fd/%d", getpid(), fd);
    char realaddr[256] = {0};
    readlink(fdaddr, realaddr, 256);
    if(strcmp("/home/ciaiy/Desktop/codingspace/fc/test.c", realaddr) == 0){
      printf("非法侵入\n");
    }
  }
  return old_read(fd, buf, count);
}

代码完成了 对所有的read操作进行监控, 然后查看是否在读取敏感文件。

先介绍hook:

我们采用的Ring3级别的hook, 也就是LD_PRELOAD动态连接.so函数劫持。
Linux的用C库的都是glibc,有一个叫libc.so.6的文件,这是几乎所有Linux下命令的动态链接中, 默认情况下,linux所编译的程序中对标准C函数的链接,都是通过动态链接方式来链接libc.so.6。我们可以通过我们注入的.so来实现函数覆盖劫持之后需要从libc.so.6中取得原本的正常函数,让程序继续正常执行
来源: https://blog.csdn.net/cncnlg/article/details/45892399

大佬对此总结的非常好, 并且很容易懂。 使用了hook技术后, 我们就可以得到进程的pid号(在hook中调用getpid()) 和 fd

而/proc/进程号/fd/ 这个目录下存放的都是以文件描述符为名的链接文件, 指向的是真实文件。
一个小例子
我们通过readlink函数可以得到真实文件路径, 然后进行匹配敏感文件的路径, 如果相同, 则进行提示“非法侵入”(后期会改成对client通信)。

Linux C: hook read和write函数
Fiyanna的博客
01-02 865
通过拦截软件模块间的函数调用、消息传递、事件传递来修改或扩展操作系统、应用程序或其他软件组件的行为的各种技术。处理被拦截的函数调用、事件、消息的代码,被称为hook
Linux 监控文件变化
Pou光明的博客
03-03 1670
当我们在界面上修改文件时,可以提示用户是否保存此次修改,并以此来发出其他信号。但是当我们的程序后台运行时,怎样自动的监控某个文件的变化呢?Inotify以它为关键字,会搜索到大部分你想要了解的,下面直接贴一个可以在linux下运行的小demo:平台:ubuntu 14.04#include <stdio.h> #include <stdlib.h> #inc...
Linux文件系统实时监控汇总
最新发布
liandao02的专栏
04-13 581
linux 下有许多监控文件系统变化的工具,inotify 就像一个闹钟,在文件有变化时通知你,但无法告诉你这是谁碰的。fanotify 则像一个带录像功能的智能门禁,不仅能记录是谁在何时动了文件,还能在特定操作(如执行恶意脚本)发生前进行拦截。auditd:内核级审计框架,提供细粒度的、可持久化的审计规则,满足合规要求。bpftrace:基于 eBPF 的高级追踪语言,以极低的性能开销实现高度灵活的动态追踪。SystemTap:一个成熟的动态追踪工具,功能强大但配置较复杂。
Linux监控某个文件、目录读写次数
Terry Tsang
06-11 3914
目的 在 Linux监控某个文件或者某个目录下所有文件读写 软件下载 inotify-tools 下载 编译方法 如果缺少编译包,自行利用 yum 安装编译软件, 如 gcc, make 等 rpm 参考下面编译安装步骤 tar xf inotify-tools-3.13.tar.gz cd inotify-tools-3.13/ ./configure make make ins...
Hook实现文件监控
sinat_36391009的博客
11-29 7535
介绍 该Windows文件监控系统旨在为Windows环境中的文件提供安全性。我需要设计一个应用程序来监视Windows上的文件打开、关闭和保存操作,并限制用户在安装此实用程序之前访问文件类型的子集。这是通过连接Windows文件相关api,然后根据需要在Windows中对文件进行打开、保存和关闭操作的预处理来实现的。预处理可能是对文件进行加密,破坏文件的标题部分等。如果在系统上安装了这个实用程序...
Linux:一行命令实时监控文件更新
先知三日
08-08 1013
使用开关-f来跟踪日志文件,它是实时更新的。
系统监控Linux下用sysdig按文件来实时监控磁盘IO读写
LUOJUN7788的博客
10-22 647
  压力测试和系统调优中,很重要的一块是监控系统在压力负载的情况下的表现。特别是当需要分析系统的性能瓶颈所在时,选用合适的监控工具,并逐步分析定位到系统性能的瓶颈所在就是十分重要的了。本文主要介绍在Linux下如何用sysdig工具来定位产生磁盘IO瓶颈的具体文件。   Windows自带的Resource Monitor工具提供了比较全面的监控功能。其中有一项就是按文件监控系统的磁...
linux 监控硬盘读写,干货|监控硬盘读写
weixin_39611389的博客
05-04 2579
点击上方“中兴开发者社区”,关注我们每天读一篇一线开发者原创好文 监控硬盘读写系统运行过程中,一些进程会向硬盘中写入大量的数据,如果写入的数据量不做控制,总有一天硬盘会被写满,导致一些奇奇怪怪的问题。为了避免硬盘被写满,就需要监控硬盘的使用情况,例如需要感知到系统中写入了哪些文件文件的大小有多少,最好能够跟踪到进程,查看进程打开的文件,并监控此进程读写硬盘的字节数。系统级文件操作监控Linux操...
Linux下使用inotify-tools工具监控文件
chen1415886044的博客
06-16 6492
如果想在Linux监控文件系统的变化,如访问属性、读写属性、权限属性、删除创建、移动等操作。可以考虑使用inotify-tools 工具,inotify-tools 是一个C库和一组命令行的工作提供Linux下inotify的简单接口。下面对inotify-tools讲解。 inotify-tools inotify是一个API,需要通过开发应用程序进行调用,对于大多数用户来讲这有着许多不便,inotify-tools的出现弥补了这一不足。inotify-tools是一套组件,它包括一个C库和几个命令行工
Inotify——实现Linux文件系统的监控
weixin_57973810的博客
06-30 2244
Inotify是Linux中用于监控文件系统变化的API,该API可以实现用非轮询的方式,近似实时地监控目录或文件发生的变化。
Linux应用 inotify监控文件变化
cesheng3410的博客
03-12 3289
本文讲述了inotify的定义、编程步骤以及常用接口,并编写程序进行测试
CFileDialog的用法和简介,读取多文件
热门推荐
zmq5411的专栏
03-04 1万+
MFC中使用CFile类和CFileDialog可以很简单的载入和保存文件…… CFileDialog文件选择对话框的使用:首先构造一个对象并提供相应的参数,构造函数原型如下:CFileDialog::CFileDialog(BOOL bOpenFileDialog, //为TRUE则显示打开对话框,为FALSE则显示保存对话文件对话框LPCTSTR lpszDefExt = NULL, //默认的文件扩展名LPCTSTR lpszFileName = NULL, //默认的文件名DWORD dwFlags
如何使用 Hook 进行获取数据?
文摘资讯
05-07 775
使用 Hook 进行数据获取,可以使用 useEffect 和 useState 这两个 Hook,其中 useEffect 用于在组件渲染完成后执行副作用操作,useState 用于定义组件内部状态。具体步骤如下:1、定义一个 state,用于存储获取到的数据。const [data, setData] = useState(null);2、使用 useEffect Hook,在组件渲染完成后发...
Linux系统编程:监视文件系统变化(inotify)
qq_73143395的博客
08-22 1318
你是否有过这样的需求,监控某个文件的修改情况,一旦某个文件的内容被修改你的进程就能观察到,对准对情况进行文件备份之类的操作。在Linux 环境下,内核提供了inotify API 用于监控文件系统的情况,可以用于监视文件的创建,修改,删除等事件。inotify用于当内核发生文件系统相关的某种事件后,用于通知用户空间,方便用户做出具体的操作。inotify 可以监控单个的文件,也可以监控整个目录,当一个目录被监控时,inotify会返回关于该目录本身及其内部文件的事件。
linux 文件监听器,Linux inotify监听文件状态的操作方法
weixin_31139027的博客
05-14 1095
Inotify 是一个 Linux特性,它监控文件系统操作,比如读取、写入和创建。Inotify 反应灵敏,用法非常简单,并且比 cron 任务的繁忙轮询高效得多。学习如何将 inotify 集成到您的应用程序中,并发现一组可用来进一步自动化系统治理的命令行工具。通俗来说,inotify可以监控文件的状态并且对变化的状态做出一些操作。安装yum install inotify-tools -yin...
Linux系统运行时参数命令--文件IO性能监控
kakaka666的博客
12-27 2138
Linux系统运行时参数命令--文件IO性能监控
软件破解逆向安全(三)初识HOOK
weixin_43781139的博客
11-15 3544
什么是HOOK?这是逆向工程里的一个大块,我在这里几句话是一定说不清楚的,如果大家想深入了解,可以去学习一下。我这里简单说一下,hook,中文就是钩子的意思,简单理解为勾住一切事物,来实现我们想要的功能。 外挂中的体现:实时读取数据(例如坐标),修改数据,不执行某处代码,过检测等等。 HOOK的方式可以分为: 直接修改,间接修改(找到空白地址写入自己想要执行的数据,原地址的区域做跳转,空白地址出跳转),直接修改。 接下来我们还是请出植物大战僵尸作为今天的实例,我们要做的是种植物而不掉阳光。 首先我
Linux定期监视某文件变化,监控Linux文件变化,防止服务器被黑
weixin_33549115的博客
04-28 892
运维服务器比较头疼的一个问题是系统被黑,沦为肉鸡或者矿机。除了加强安全基线配置,加强网络和端口加固,系统和应用bug修复,上IDS/IPS(入侵检测/防御系统)之外,另一个方面就是系统监控,一个完善准确的安全监控可以在主机层面及时发现入侵活动、予以告警以备及时处理。本文虫虫就给大家来说说系统文件变化的监控。概述在*nix体系一切皆文件,系统文件的变化往往反应着系统的变化,比如系统应用的更新、系统的...
Linux 中查看文件大小并监控文件变化
m0_65363520的博客
01-30 1003
Linux 中有时需要对相关文件进行监控,查看该文件是否进行修改,假设某个文件发生了修改,即需要执行某些特定的操作。这时便可以查看文件的大小或者修改时间,根据大小和修改时间来自动监控判断文件是否发生了修改。(注意:根据文件大小可能不一定准确)
linux-inotify工具监控文件状态变化总结
liuyij3430448的博客
03-20 2906
大纲它是在内核版本中引入的一个新功能,它为用户态监视文件系统的变化提供了强大的支持,允许监控程序打开一个独立文件描述符,并针对事件集监控一个或者多个文件,例如打开、关闭、移动/重命名、删除、创建或者改变属性。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值