使用tracee编写规则追踪系统安全事件

最新推荐文章于 2025-06-10 09:17:04 发布
原创 最新推荐文章于 2025-06-10 09:17:04 发布 · 916 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络安全 #渗透测试 #安全漏洞

本文介绍了Linux运行时安全工具Tracee,通过eBPF技术追踪系统和应用,检测可疑行为。讲解了安装tracee的条件及步骤,使用tracee-rules检测包括Fileless Execution在内的安全事件,以及如何创建自定义规则来监控特定命令如whoami。

一、何为tracee

Tracee 是 Linux 的运行时安全和取证工具。它使用 Linux eBPF 技术在运行时跟踪您的系统和应用程序,并分析收集到的事件以检测可疑的行为模式。Tracee 由以下子项目组成:

Tracee-eBPF - 使用 eBPF 的 Linux 跟踪和取证程序

Tracee-Rules - 运行时安全规则检测引擎

『技术资料』

二、安装tracee

运行tracee的必要条件

Linux 内核版本 >= 4.18

Linux 内核头文件在常规位置下可用

系统库 libelf 和 zlib

快速开始安装

docker run --name tracee --rm --pid=host --privileged -v /tmp/tracee:/tmp/tracee -it aquasec/tracee:latest trace

本条命令将仅启动原始跟踪 (Tracee-eBPF),没有检测引擎 (Tracee-Rules),用户将会看到如下的大量的原始事件输出:

[root@localhost ~]# docker run --name tracee --rm --pid=host --privileged -v /tmp/tracee:/tmp/tracee -it aquasec/tracee:latest trace
TIME             UID    COMM             PID     TID     RET              EVENT                ARGS
06:16:20:529134  0      assist_daemon    719     759     0                security_file_open   pathname: /proc/stat, flags: O_RDONLY|O_LARGEFILE, dev: 5, inode: 4026532025
06:16:20:529094  0      assist_daemon    719     759     7                open                 pathname: /proc/stat, flags: O_RDONLY|O_LARGEFILE|O_CLOEXEC, mode: 0
06:16:
最低0.47元/天 解锁文章
容器跟踪调试工具Sysdig,Tracee相关文章
SHELLCODE_8BIT的博客
12-08 185
Sysdig vs DTrace vs Strace: A technical discussion. – Sysdig超强的系统挖掘工具sysdig_weixin_34242509的博客-优快云博客tracee源码初探 - shininglight - 博客园 (cnblogs.com)深入浅出 eBPF 安全项目 Tracee_dwh0403的博客-优快云博客_ebpf 安全使用tracee编写规则追踪系统安全事件 - FreeBuf网络安全行业门户深入浅出 eBPF 安全项目 Tracee -阿里
[RSA议题分析] eBPF Warfare - Detecting Kernel & eBPF Rootkits with Tracee
Breeze的博客
05-26 4523
eBPF在恶意活动检测方面仍是未知领域。随着威胁的不断出现,我们需要采取主动。参与者将了解到不同类型的rootkits,它们的击流程,它们的运作方式以及如何检测它们。最后,他们将学习如何使用Tracee,这是一个利用eBPF来检测这些威胁并在击者面前获得优势的开源工具。本篇议题是由Aqua Security实验室的Asaf Eitani 和Idan Revivo两位研究员带来。
事件追踪
爱我非你莫属的博客
07-16 521
事件追踪 目的 Windows事件跟踪(ETW)为应用程序程序员提供了启动和停止事件跟踪会话,对应用程序进行检测以提供跟踪事件以及使用跟踪事件的能力。跟踪事件包含事件标头和提供者定义的数据,这些数据描述了应用程序或操作的当前状态。您可以使用事件来调试应用程序并执行容量和性能分析。 本文档适用于要使用ETW的用户模式应用程序。有关检测以内核模式运行的设备驱动程序的信息,请参阅Windows驱动程序工具包(WDK)中的WPP软件跟踪和将事件跟踪添加到内核模式驱动程序。 适用时 当您要检测应用程序,将用户或内核事
什么是trace系统?
不才的专栏
05-03 2619
Trace系统,也常被称为分布式追踪系统,是一种用于监控、分析和优化复杂分布式系统(如微服务架构)中服务调用的工具。随着现代应用程序向微服务架构的转变,一个用户请求可能需要跨越多个服务来完成。这种架构带来了更好的可扩展性和灵活性,但同时也使得监控和故障排查变得更加复杂。Trace系统通过提供请求的完整生命周期视图,帮助开发者和运维人员理解服务之间是如何相互作用的,从而快速定位问题所在。
探秘系统行为:Tracee - 强大的运行时安全与可观测性工具
gitblog_00088的博客
05-11 531
探秘系统行为:Tracee - 强大的运行时安全与可观测性工具 traceeLinux Runtime Security and Forensics using eBPF项目地址:https://gitcode.com/gh_mirrors/tr/tracee 在日益复杂和敏感的数字世界中,理解系统和应用程序的行为变得至关重要。今天,我们向您推荐一个创新的开源项目——Tracee。它是一个基于...
深入浅出 eBPF 安全项目 Tracee
dwh0403的专栏
09-11 1702
原文地址: https://www.ebpf.top/post/tracee_intro/ 1. Tracee 介绍 1.1 Tracee 介绍 Tracee 是一个用 于 Linux 的运行时安全和取证工具。它使用 Linux eBPF 技术在运行时跟踪系统和应用程序,并分析收集的事件以检测可疑的行为模式。Tracee 以 Docker 镜像的形式交付,监控操作系统并根据预定义的行为模式集检测可疑行为。完整文档参见:https://aquasecurity.github.io/tracee/dev/。
Tracee项目事件追踪功能详解:--events标志使用指南
最新发布
gitblog_01093的博客
06-10 326
Tracee是一个基于eBPF技术的Linux运行时安全和取证工具,其核心功能是通过事件追踪来监控系统活动。`--events`标志是Tracee中最重要且最常用的命令行参数之一,它允许用户精确控制要追踪事件类型和过滤条件。 ## 事件分类体系 Tracee将系统活动划分为六大核心类别,每个类别包含多个具体事件: | 事件类别 | 描述 | 典型事件示例 | |---------|----...
eBPF技术在Linux系统运行时安全与取证中的应用
12. 取证工具的工作原则是收集和分析事件数据,以便在发生安全事件时,可以调查和理解发生了什么,Tracee在这个层面上提供了强大的支持。 在了解了Tracee以及eBPF技术后,用户应该对如何使用Tracee进行系统监控以及...
【高级排错秘籍】用strace思路追踪MinGW系统调用异常:深度诊断编译卡点
在Windows平台上使用MinGW进行开发时,开发者常面临系统调用行为与Linux环境不一致的问题。MinGW通过封装Windows API实现类POSIX接口,其系统调用并非直接陷入内核,而是经由`msvcrt.dll`等运行时库转发为NT系统调用...
Tracee:基于eBPF的Linux运行时安全和取证工具
gitblog_00798的博客
11-29 461
Tracee是一个开源的Linux运行时安全和取证工具,它使用eBPF(extended Berkeley Packet Filter)技术来监控和分析系统的运行时行为。该项目主要由Go和C语言编写。 ## 项目基础介绍 Tracee旨在帮助用户理解系统和应用程序的行为。它通过将系统的行为转化为可消费的事件来实现这一目标。这些事件包括从简单的系统活动事件到复杂的能够检测可疑行为模式的安全事件。...
Linux内核中断trace机制log解析工具
08-14
用于将通过cat /sys/kernel/debug/tracing/trace命令获取的log文件,进行解析,和统计,分类:哪一号中断,在哪一号CPU上运行,总共运行时间多久,最大单次处理时间,最小单次处理时间,平均处理时间,相同中断发生在同一个CPU上面的最小间隔等。
追踪使用eBPFLinux运行时安全性和取证
02-04
Tracee使用eBPFLinux运行时安全性和取证 Tracee是Linux的运行时安全和取证工具。 它使用Linux eBPF技术在运行时跟踪系统和应用程序,并分析收集的事件以检测可疑的行为模式。 此仓库包含以下项目: 使用eBPF进行Linux跟踪和取证 运行时安全检测引擎 使用Linux的进行eBPF编程的Go库 该仓库目前处于过渡到包含这些多个项目的单一仓库的状态。 如果要查找以前的“跟踪”工具,请在“ tracee-ebpf”目录中查找。
ptrace系统调用的实现
imred的专栏
05-12 3014
最近遇到这样一个问题,机器跑着跑着画面冻结了,打开top看到Xorg的cpu占用率100%。想用gdb挂上去看一下,结果gdb一直卡着挂不上去。后来又换用perf分析,结果发现进程99%的时间花在了一个ioctl调用。这个ioctl操作的是nvidia显卡,进程实际上是卡在了nvidia的驱动中。 我对gdb挂不上去这件事感到很好奇,之前除了因为进程已经被另一个gdb调试而导致gdb挂不上去之外,...
基于RESTful API的事件追踪系统设计与实现
weixin_36204513的博客
11-16 1019
本文还有配套的精品资源,点击获取 简介:EventTrackerProject是一个使用Java开发的事件追踪系统,核心功能包括记录、管理和分析事件,通过RESTful API接口服务提供数据交互。该项目遵循REST原则,利用不同的HTTP方法(如GET、POST、PUT、DELETE和PATCH)进行资源的获取、创建、更新和删除操作,并使用JSON格式作为请求和响应体。项...
玩转eBPF---关于内核运行时安全的那些事儿
热门推荐
Rethinking the Kernel
08-17 1万+
内核安全问题,牵一发而动全身,尤其是在运行时安全方面。通过上述eBPF新型program类型,并优化内核LSM框架和现有机制容易丢失系统调用的问题,从阻断一个函数调用运行的角度,来实现更细粒度,也更合理的检测。 感兴趣的朋友可以进入龙蜥社区eBPF技术探索SIG组页面学习,进而分享自己的看法和解决方案,和SIG组成员一起开启eBPF的神奇之旅! 龙蜥社区eBPF技术探索SIG组:https://openanolis.cn/sig/ebpfresearch 钉钉群号:44866635...
Linux 调试之strace
小立仔
11-21 3236
Linux 调试之strace的使用及其原理
【Linux kernel】Process Creation(一)
weixin_41028159的博客
12-06 381
为什么要写一个关于进程如何创建的文档?其实用do_fork作为关键字进行索引,你会发现网上的相关文档数以万计。作为一个内核工程师,对进程以及进程相关的内容当然是非常感兴趣,但是网上的资料并不能令我非常满意(也许是我没有检索到好的文章),一个简单的例子如下: 上面的代码是进程创建过程的一个片段,网上的解释一般都是对代码逻辑的描述:清除PF_SUPERPRIV 和PF_WQ_WORKER这两个flag的标记,设定PF_FORKNOEXEC标记。坦率的讲,这样的代码解析没有任何意义,其实c代码都已经是非常清楚了。
Linux strace命令
weixin_34218890的博客
01-08 2181
简介 strace常用来跟踪进程执行时的系统调用和所接收的信号。 在Linux世界,进程不能直接访问硬件设备,当进程需要访问硬件设备(比如读取磁盘文件,接收网络数据等等)时,必须由用户态模式切换至内核态模式,通 过系统调用访问硬件设备。strace可以跟踪到一个进程产生的系统调用,包括参数,返回值,执行消耗的时间。 输出参数含义 root@ubuntu:/usr# strace cat ...
eBPF Tracing 入门教程与实例
weixin_34270865的博客
05-28 1259
在 LPC'18(Linux Plumber's conference) 会议上,至少有24个关于 eBPF 的演讲。 eBPF 这一实用技术,将是每个开发者需要掌握的技巧。 也许你的新年目标得再多一个了:学习 eBPF!eBPF 的名称源于 extended Berkeley Packet Filter,如果从 eBPF 的功能来说,类似 Virtual Kernel Instruction S...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值