Tracear archivos usados por programas.
Hola amigos. Me gustaria saber si hay alguna forma de saber los archivos q toca un programa, sobre todo los referentes a la configuración. He probado el lsof pero no lo hace continuamente si no q te muestra los archivos abiertos en ese momento. Pongo un ejemplo: Ejecuto el xmame, pues me gustaria q me indicara los archivos q ha tenido q "visitar" para poder ejecutarse, porq así sabria q archivos e de retocar o si se comporta de forma "sospechosa". Gracias a todos.
El 2003-07-24 a las 12:38, ZX80 escribió:
Me gustaria saber si hay alguna forma de saber los archivos q toca un programa, sobre todo los referentes a la configuración.
Interesante idea...
Ejecuto el xmame, pues me gustaria q me indicara los archivos q ha tenido q "visitar" para poder ejecutarse, porq así sabria q archivos e de retocar o si se comporta de forma "sospechosa".
Para eso se podría usar el tripwire, que detecta ficheros cambiados, aunque no sepa por quien. Se podría investigar el checkinstall, que consigue ver que hace la instalación de un programa para crear un rpm. -- Saludos Carlos Robinson
El 2003-08-16 a las 01:42, ibamos diciendo:
Me gustaria saber si hay alguna forma de saber los archivos q toca un programa, sobre todo los referentes a la configuración.
Interesante idea...
Se me ha ocurrido una cosa. En el directorio /proc, hay un pseudo directorio para cada proceso. Dentro, hay otro pseudodirectorio /proc/PID/fd/ que contiene enlaces a los ficheros abiertos en ese momento: detectando cambios en ese directorio y puntándolos, se puede saber. Esto necesitaría programarse, porque creo que hay una función del kernel que permite saber si un directorio cambia - la cuestion es saber si avisa cuando cambia (como hacer un cat). Pero hay otra manera con la que si se puede hacer, pero no es trivial. Los programas strace y ltrace crean trazados de todas las llamada a librería o a sistema, y las pueden guardar en un fichero (enorme). En este fichero de texto se pueden buscar cadenas como "open(" que determinan que ficheros abre o intenta abrir. Para hacerlo más legible, hay que usar un grep... Mejor: strace -p 5116 -t -r -etrace=open en una consola, sabiendo el pid. O sin saberlo, también se puede. -- Saludos Carlos Robinson
participants (2)
-
Carlos E. R. -
ZX80