fanotify用例

已于 2024-05-21 17:49:31 修改
阅读量528 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 网安工具 文章标签: 网络
于 2023-02-07 14:27:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SHELLCODE_8BIT/article/details/128918212
文章展示了使用C++和Golang通过fanotifyAPI来监控文件系统事件的代码示例,包括文件打开权限和可写文件关闭事件的处理。在C++示例中,程序读取fanotify事件并响应,而在Golang版本中,程序同样监听事件并获取进程信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

c++ 

golang

c++ 

下列程序能够监控单文件和目录

NegativeMjark/fanotify: A simple fanotify example for watching events on a filesystem. (github.com)

另外一个

#define _GNU_SOURCE /* Needed to get O_LARGEFILE definition */ #include <errno.h>

#include <fcntl.h>

#include <limits.h>

#include <poll.h>

#include <stdio.h>

#include <stdlib.h>

#include <sys/fanotify.h>

#include <unistd.h>

/* Read all available fanotify events from the file descriptor 'fd'. */

static void
handle_events(int fd) {
  const struct fanotify_event_metadata * metadata;
  struct fanotify_event_metadata buf[200];
  ssize_t len;
  char path[PATH_MAX];
  ssize_t path_len;
  char procfd_path[PATH_MAX];
  struct fanotify_response response;

  /* Loop while events can be read from fanotify file descriptor. */

  for (;;) {

    /* Read some events. */

    len = read(fd, buf, sizeof(buf));
    if (len == -1 && errno != EAGAIN) {
      perror("read");
      exit(EXIT_FAILURE);
    }

    /* Check if end of available data reached. */

    if (len <= 0)
      break;

    /* Point to the first event in the buffer. */

    metadata = buf;

    /* Loop over all events in the buffer. */

    while (FAN_EVENT_OK(metadata, len)) {

      /* Check that run-time and compile-time structures match. */

      if (metadata -> vers != FANOTIFY_METADATA_VERSION) {
        fprintf(stderr,
          "Mismatch of fanotify metadata version.\n");
        exit(EXIT_FAILURE);
      }

      /* metadata->fd contains either FAN_NOFD, indicating a
 queue overflow, or a file descriptor (a nonnegative
 integer). Here, we simply ignore queue overflow. */

      if (metadata -> fd >= 0) {

        /* Handle open permission event. */

        if (metadata -> mask & FAN_OPEN_PERM) {
          printf("FAN_OPEN_PERM: ");

          /* Allow file to be opened. */

          response.fd = metadata -> fd;
          response.response = FAN_DENY;
          write(fd, & response, sizeof(response));
        }

        /* Handle closing of writable file event. */

        if (metadata -> mask & FAN_CLOSE_WRITE)
          printf("FAN_CLOSE_WRITE: ");

        /* Retrieve and print pathname of the accessed file. */

        snprintf(procfd_path, sizeof(procfd_path),
          "/proc/self/fd/%d", metadata -> fd);
        path_len = readlink(procfd_path, path,
          sizeof(path) - 1);
        if (path_len == -1) {
          perror("readlink");
          exit(EXIT_FAILURE);
        }

        path[path_len] = '\0';
        printf("File %s\n", path);

        /* Close the file descriptor of the event. */

        close(metadata -> fd);
      }

      /* Advance to next event. */

      metadata = FAN_EVENT_NEXT(metadata, len);
    }
  }
}

int
main(int argc, char * argv[]) {
  char buf;
  int fd, poll_num;
  nfds_t nfds;
  struct pollfd fds[2];

  /* Check mount point is supplied. */

  if (argc != 2) {
    fprintf(stderr, "Usage: %s MOUNT\n", argv[0]);
    exit(EXIT_FAILURE);
  }

  printf("Press enter key to terminate.\n");

  /* Create the file descriptor for accessing the fanotify API. */

  fd = fanotify_init(FAN_CLOEXEC | FAN_CLASS_CONTENT | FAN_NONBLOCK,
    O_RDONLY | O_LARGEFILE);
  if (fd == -1) {
    perror("fanotify_init");
    exit(EXIT_FAILURE);
  }

  /* Mark the mount for:
- permission events before opening files
- notification events after closing a write-enabled
  file descriptor. */

  if (fanotify_mark(fd, FAN_MARK_ADD,
      FAN_OPEN_PERM | FAN_CLOSE_WRITE, AT_FDCWD,
      argv[1]) == -1) {
    perror("fanotify_mark");
    exit(EXIT_FAILURE);
  }

  /* Prepare for polling. */

  nfds = 2;

  fds[0].fd = STDIN_FILENO; /* Console input */
  fds[0].events = POLLIN;

  fds[1].fd = fd; /* Fanotify input */
  fds[1].events = POLLIN;

  /* This is the loop to wait for incoming events. */

  printf("Listening for events.\n");

  while (1) {
    poll_num = poll(fds, nfds, -1);
    if (poll_num == -1) {
      if (errno == EINTR) /* Interrupted by a signal */
        continue; /* Restart poll() */

      perror("poll"); /* Unexpected error */
      exit(EXIT_FAILURE);
    }

    if (poll_num > 0) {
      if (fds[0].revents & POLLIN) {

        /* Console input is available: empty stdin and quit. */

        while (read(STDIN_FILENO, & buf, 1) > 0 && buf != '\n')
          continue;
        break;
      }

      if (fds[1].revents & POLLIN) {

        /* Fanotify events are available. */

        handle_events(fd);
      }
    }
  }

  printf("Listening for events stopped.\n");
  exit(EXIT_SUCCESS);
}

golang

s3rj1k/go-fanotify: Golang fanotify example (github.com)

package main

import (
	"bufio"
	"encoding/binary"
	"flag"
	"fmt"
	"golang.org/x/sys/unix"
	"io/ioutil"
	"log"
	"os"
	"path/filepath"
	"strconv"
)
const markFlags = unix.FAN_MARK_ADD
const markMask = unix.FAN_ONDIR | unix.FAN_MOVED_FROM | unix.FAN_MOVED_TO | unix.FAN_CREATE | unix.FAN_DELETE | unix.FAN_MODIFY
func main() {
	var path string
	flag.StringVar(&path, "path", "/root/test/kubelet", "")
	flag.Parse()
	//初始化返回fd
	fd, initErr := unix.FanotifyInit(
		unix.FAN_CLOEXEC| //在进程执行exec系统调用时关闭此打开的文件描述符
			unix.FAN_CLASS_NOTIF| //仅通知
			unix.FAN_UNLIMITED_QUEUE| //取消队列限制
			unix.FAN_UNLIMITED_MARKS, //取消mark限制
		uint(os.O_RDONLY| //只读
			unix.O_LARGEFILE| //支持大于2G的文件
			unix.O_CLOEXEC, //在进程执行exec系统调用时关闭此打开的文件描述符
	))
	if initErr != nil {
		log.Fatalf("1%v\n", initErr)


	}
	fmt.Println(path)
	markErr := unix.FanotifyMark(
		fd, unix.FAN_MARK_ADD, //mark加入
			//unix.FAN_MARK_MOUNT, //mark pathname
		unix.FAN_CLOSE_WRITE|unix.FAN_EVENT_ON_CHILD,
		unix.AT_FDCWD, //如果pathname为空,mark当前目录
		path,
	)
	if markErr!= nil {
		log.Fatalf("2%v\n", markErr)
	}

	for {
		event := new(unix.FanotifyEventMetadata)

		defer unix.Close(int(event.Fd))
		readErr := binary.Read(
			bufio.NewReader(os.NewFile(uintptr(fd), "")),
			binary.LittleEndian,
			event,
			)
		if readErr != nil {
			log.Fatalf("3%v\n", readErr)
		}

		if event.Vers != unix.FANOTIFY_METADATA_VERSION {
			if err := unix.Close(fd); err != nil {
				log.Fatalf("%v\n", markErr)
			}

			log.Fatalf("4%v\n", "versionErr")
		}
		exepath, exepatherr := os.Readlink(fmt.Sprintf("/proc/%d/exe", event.Pid))
		if exepatherr!=nil {
			log.Fatalf("9%v\n", exepatherr)
		}

		cwd, cwderr := os.Readlink(fmt.Sprintf("/proc/%d/cwd", event.Pid))
		if cwderr!=nil {
			log.Fatalf("9%v\n", cwderr)
		}
		cmd ,cmderr := ioutil.ReadFile(fmt.Sprintf("/proc/%d/cmdline", event.Pid))
		if cmderr != nil {
			log.Fatalf("7%v\n", cmderr)
		}

		//stat ,staterr := ioutil.ReadFile(fmt.Sprintf("/proc/%d/status", event.Pid))
		//if staterr != nil {
		//	log.Fatalf("8%v\n", staterr)
		//}

		if int(event.Pid) == os.Getpid() {
			closeErr := unix.Close(int(event.Fd))
			if closeErr != nil {
				log.Fatalf("5%v\n", closeErr)
			}
		}

		path, pathErr := os.Readlink(filepath.Join("/proc/self/fd", strconv.FormatUint(uint64(event.Fd), 10)))
		if pathErr != nil {
			log.Fatalf("6%v\n", pathErr)
		}


		fmt.Printf("CWD: %s EXEPATH: %s CMDLINE: %s PID:%d %s \n",cwd, exepath, string(cmd), event.Pid, path)
		//fmt.Println(string(stat))


	}

}

fsnotify用
SHELLCODE_8BIT的博客
02-01 171
jrelo/fs_monitoring: dnotify,inotify, and fanotify example code from http://www.lanedo.com/filesystem-monitoring-linux-kernel/ (github.com)
【安全】使用Fanotify拦截文件操作
追寻梦想的青春
06-21 1040
前文已经说过,Fanotify相比Inotify,比较大的优势是获取的数据多以及Fanotify的阻断能力。阻断能力,顾名思义,就是在用户操作文件时,如果判断出文件是有问题的,可以不让用户操作。
文件监控机制fanotify学习总结
changke的博客
01-16 2841
fanotify是Linux平台上新出现的一种文件监控技术,常被用作杀毒软件或者病毒程序恶意访问控制。之前有听过或使用过inotify的,都知道inotify是相比于fanotify更早的文件操作事件监控技术,fanotify是新出来的,实现的功能不比inotify多,但是他提供的对于监控文件的事件比较重要的功能权限检查和访问控制而inotify没有提供,所以这一点优势是其能存在的原因。 fani...
【安全】Linux Fanotify使用入门
追寻梦想的青春
06-19 3059
fanotify是另一种文件监控机制,在使用上两者类似,都是先调用init函数初始化句柄,然后调用类似watch的函数添加监控路径,再使用select+read的方式读取出变化的事件,根据事件中给出的参数获取文件的路径、事件类型以及其他需要的数据。如果是监控主机上的路径,directed结合FAN_EVENT_ON_CHILD标志就只能监控目录以及目录下的文件,per-mount可以监控pathname所在的挂载点中所有文件或者目录的变化,而global模式可以监控整个文件系统。
fanotify:一个简单的fanotify,用于监视文件系统上的事件
05-08
Fanotify-监视文件系统事件 系统的一个简单C示要求linux。 建造 make 跑步 要监视根文件系统运行中的所有关闭事件: sudo ./fanotify CLOSE MOUNT /
fanotify监控文件使用案及输出操作的进程名和PID
elimuzi的博客
08-19 1733
#define _GNU_SOURCE #include <errno.h> #include <fcntl.h> #include <limits.h> #include <stdio.h> #include <stdlib.h> #include <sys/types.h> #include <sys/fanotify.h> #include <sys/stat.h> #include <unistd.
fanotify 监控文件系统
mmdev
04-14 1390
简介:Fanotify 是一个 notifier,即一种对文件系统变化产生通知的机制,是替代 inotify 的下一代文件系统通知机制。本文将探讨 fanotify 的特性和基本的使用,希望能为那些准备理解这个新的文件系统通知机制的读者提供一些参考。 引子 Fanotify (fscking all notifiction and file access system) 是一个 notifie...
fanotify来实现Linux下的进程隐藏
pein66的博客
03-28 1500
Index1.原理2.目前比较常见的Linux进程隐藏方法1.1.注入preload挂钩readdir1.2.直接替换ls/ps等系统程序3.fanotify是什么?4.使用fanotify进行进程隐藏 1.原理 在Linux下,一切皆文件。所有的进程信息,都存放在/proc/目录下,每一个pid一个目录。一般来说,遍历检查进程的方法,就是遍历检查/proc目录,检查所有名称是数字的子目录,检查其...
Golang专题——fsnotify 文件及目录监控
GoppViper的博客
09-15 4642
Golang 的 fsnotify 库很方便对文件、目录做监控,这里的充满了想象力,因为一切皆文件,这代表着一切可监控。童鞋们,这里的想象空间非常大哦;通过 fsnotify 我们映证了 vim 的秘密;Golang 的 fsnotify 其实操作系统能力的浅层封装,Linux 本质就是对 inotify 机制;inotify 也是一个特殊句柄,属于匿名句柄之一,这个句柄用于文件的事件监控;
golang实现文件系统监控 fsnotify
猛犸象
12-02 1929
概述 我们几乎每天都在使用编辑器来开发程序,你会发现你在编辑器之外的地方修改了内容,或者新建了文件,编辑器中会实时自动更新;再比如,你打开一个目录,然后 ctrl+n 复制一个,此时你在其中一个窗口中创建文件,另一个窗口也会自动更新,所以说,文件系统的监控几乎无处不在。 fsnotify 在golang中,我们可以使用 fsnotify 来实现,它内部也是调用的操作系统提供的inotify能力。它目前支持的平台 Adapter OS Status inotify Linux 2.6.27 o
fanotify 允许打开事件用
SHELLCODE_8BIT的博客
06-08 257
【代码】fanotify 允许打开事件用
linux fanotify
faxiang1230的专栏
01-19 1706
IT安全行业比较注重用户行为监控,在linux上如何做行为监控呢?首先监控可以分作两大类:本地行为和网络行为,大致是如何做的呢?在linux系统中分为用户空间和内核空间,又有进程来提供隔离,通常是不能实时监控到其他用户进程的行为的.不过linux通过/proc和/sys提供了很多有用的接口,工具通过这些接口提取信息使可读性更好,如top,netstat等,其中有一些接口能够被用来进行monito...
linux监控新文件,如何为Linux新的“fanotify”文件系统监控功能进行编程?
weixin_33181159的博客
04-30 417
This LWN article经常被引用作为fanotify的文档来源。但是描述似乎已经过时了。 fanotify不再工作使用套接字连接。相反,在sys / fanotify.h中声明了两个新的libc函数包装系统调用。一个叫做fanotify_init,另一个是fanotify_mark。在撰写本文时,这些系统调用仍然包含在list of missing manual pages中。但是,这些...
查linux有哪些task_Linux文件事件监控之Fanotify [二]
weixin_31887861的博客
12-27 301
Linux文件事件监控之Fanotify [一] 监控流程上文展示了从sys_open()到fsnotify()之间的call trace,接下来继续追踪在fsnotify()之后的代码路径:根据ftrace的打印结果,fanotify注册的"handle_event"函数指针会被调用,进而就是通过fanotify_alloc_event(),给要向listerner上报的内容分配内存,并根据和l...
利用fanotify进行文件系统实时监测的认识
qq_36573828的博客
08-20 4491
目录对最近学习Fanotify的一些理解Fanotify知识总结fanotify基本功能fanotify类型函数fanotify_init()fanotify_markfanotify使用运用中的问题 对最近学习Fanotify的一些理解 Fanotify (fscking all notifiction and file access system) 是一个 notifier,即一种对文件系统变...
C语言中文件操作函数汇总
半暖的博客
04-13 4719
fopen函数  --- 打开一个文件流函数原型:FILE*  fopen(const char *path, const char *mode);参数:参数path是需要打开文件的文件名,通常把它叫做文件的路径,         参数 mode 是打开文件的权限(只读、只写、读写等)。返回值:打开成功返回指向打开文件的指针,后序可以通过这个指针来访问该文件。打开失败则返回NULL。关于第三个参数...
Linux系统应用 - Fanotify
最新发布
dxf1971738522的博客
03-04 833
基于Linux的Fanotify框架实现文件系统变动通知
fanotify实现原理源码分析
xsinlink的博客
11-06 737
fanotify主要使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信安成长日记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值