Score:1

บันทึก execve พร้อมกับพาเรนต์โพรเซส argv?

ธง us

ฉันกำลังพยายามหาว่าฉันสามารถแยกเซิร์ฟเวอร์เก่าออกได้หรือไม่ ฉันต้องการข้อมูลเกี่ยวกับกระบวนการอัตโนมัติที่ทำงานอยู่ที่นั่น จนถึงตอนนี้ฉันลองทำสิ่งต่อไปนี้:

auditctl -a exit เสมอ -F arch=b64 -S execve -k คำสั่งใดๆ

ในขั้นตอนการวิเคราะห์บันทึก ฉันพบว่าบริบทขาดหายไปสองส่วน:

  1. โปรแกรมเหล่านั้นถูกดำเนินการอย่างไร? ผู้ปกครองของพวกเขาเป็นกระบวนการใดและ argv เป็นอย่างไร
  2. stdin/stdout หายไปไหน? ฉันชอบที่จะเห็นคำสั่งเชลล์สร้างขึ้นใหม่ แต่ฉันรู้ว่าฉันอาจขอมากเกินไป ดังนั้นอย่างน้อยการมีรหัสตัวอธิบายไพพ์จะทำ (เพื่อให้ฉันสามารถลองสร้างใหม่ด้วยสคริปต์ของฉันเอง)

ฉันจะแก้ไขปัญหาดังกล่าวได้อย่างไร

Michael Hampton avatar
cz flag
ไม่มีข้อมูลนั้นในการเรียกระบบ excve บางทีคุณควรติดตาม syscall อื่นๆ เช่น โคลนหรือเปิด
Score:1
ธง br

เดอะ ผู้บริหาร การเรียกระบบแทนที่กระบวนการปัจจุบัน หากโปรแกรมต้องการรักษาการควบคุมไว้หลังจากเริ่มโปรแกรมอื่น จำเป็นต้องสร้างกระบวนการใหม่ก่อน (โดยใช้ ส้อม หรือ ส้อม) ว่าแล้วก็โทร ผู้บริหาร.

ตัวอธิบายไฟล์ที่เปิดอยู่และการอนุญาตจะถูกนำไปใช้เมื่ออิมเมจของโปรแกรมถูกแทนที่ ผู้บริหาร (ยกเว้นที่มีเครื่องหมาย CLOEXEC ธง) ดังนั้นไฟล์ที่เปิดอยู่จึงสืบทอดมาจากกระบวนการหลักในระหว่าง ส้อมแล้วแก้ไขระหว่าง ส้อม และ ผู้บริหาร (เช่น การใช้ สำเนา2) และสุดท้ายก็กรองระหว่าง ผู้บริหาร เรียก.

ดังนั้นการได้ภาพที่สมบูรณ์จากข้อมูลการตรวจสอบจึงเป็นเรื่องยาก

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา