Steffen Dettmer
Man könnte sich ja mal bei einem Rootkit oder so abschauen, wie man open, stat & Co. abfängt, und diese Aufrufe versuchen zu loggen.
Ja, wahrscheinlich ist das Abfangen aller entsprechenden Systemaufrufe die "einfachste" Möglichkeit. Vielleicht nicht gerade stat, der verändert ja nichts. Prinzipiell könnte das so eine Art strace sein, nur eben nicht für einen Prozeß, sondern für's ganze System. Keine Ahnung, ob die vorhandenen Schnittstellen sich irgendwie für dieses Vorhaben mißbrauchen lassen.
Will mans ganz genau wissen, kann man auch write & Co.
Die Liste wäre wohl nicht ganz kurz, wenn man auf diesem Weg alle Veränderungen an den Dateisystemen mitbekommen will. Mir fallen auf Anhieb z.B. Dinge wie open, write, truncate, chown, chmod, link, symlink, unlink, mkdir, rmdir und mknod ein. Die Liste erhebt keinen Anspruch auf Vollständigkeit ;-)
verbiegen; sollte dann aber wohl komplizierter werden, weil man die FDs prüfen muß...
Schlimmer: Da man das ganze System beobachtet, müßte man mindestens die Kombination aus PID und FD beobachten. Und spätestens bei einem fork() wird's dann richtig übel, denn der neue Prozeß kann auf einen FD schreiben, dessen zugehöriges open() im Eltern-Prozeß stattfand. Vielleicht wäre es besser, sich nicht selbst noch was zu merken, denn das tut der Kernel ja schon: Im Kernel muß man ja bei jedem write() wissen, auf welche Datei (und damit welches Gerät) der Zugriff geht. Wer Lust hat, den Kernel zu verunstalten, möge sich daran versuchen ;-) Ist ja ganz lustig, sich darüber Gedanken zu machen, aber eine kurzfristige Lösung für das ursprüngliche Problem sehe ich damit leider nicht kommen. Würde mich schon interessieren, wenn jemand eine einfache, schon existierende Lösung kennt. Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org - eilert@linuxfreak.com http://www.informatik.uni-bremen.de/~eilert/ --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com