Trc*_*rcx 5 python process monitor watch spawn
是否有任何方法可以在python(理想情况下)或bash中查看名为"X"的新进程?我知道我可以查看正在运行的进程,但这对我的需求来说还不够快.我能想到的唯一想法是如何挂钩新流程并注册,但如何?
更多背景:我是CCDC团队的一员(http://www.nationalccdc.org/),我是蓝队.比赛的前提是为学生提供一个网络来防御专业笔测试者,以帮助下一代安全专家更好.我想要做的是在linux盒子上加载这个python脚本,并观察正在运行的某些命令,这些命令可能只会被红队使用,例如'chattr'命令.理想情况下,我希望能够为脚本提供要监视的进程列表.我可以弄清楚那部分,但不知道如何观察过程产卵.
任何方向表示赞赏.谢谢.
我知道在完全运行的 Linux 系统上通过任何方式启动进程时,没有 root 权限的进程无法收到通知。如果轮询不够快,您将不得不进行一些严重的黑客攻击。
如果你有 root,这是可能的。如果没有的话我就看不到了。
使用root,您可以设置系统范围内的系统调用替换,fork从而exec为您提供所需的通知。这可能是在内核中,也可能是LD_PRELOAD黑客攻击。
这不仅适用于 Python;也适用于 Python。即使使用 C 程序,我也不知道“inotify用于进程创建”。
| 归档时间: |
|
| 查看次数: |
523 次 |
| 最近记录: |