fanotify监控文件使用案例及输出操作的进程名和PID

最新推荐文章于 2025-04-25 11:21:56 发布
原创 最新推荐文章于 2025-04-25 11:21:56 发布 · 1.8k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

该程序示例展示了如何利用fanotify系统调用监控指定目录下的文件系统事件,如创建、删除、移动和修改文件。它读取fanotify事件并解析相关信息,包括触发事件的进程名和文件路径。 
#define _GNU_SOURCE
#include <errno.h>
#include <fcntl.h>
#include <limits.h>
#include <stdio.h>
#include <stdlib.h>
#include <sys/types.h>
#include <sys/fanotify.h>
#include <sys/stat.h>
#include <unistd.h>
#include <string.h>

#define BUF_SIZE 1024

/**
 * 根据pid获取进程名
*/
void getNameByPid(pid_t pid, char *task_name)
{
    char proc_pid_path[BUF_SIZE];
    char buf[BUF_SIZE];

    sprintf(proc_pid_path, "/proc/%d/status", pid);
    FILE *fp = fopen(proc_pid_path, "r");

    if (NULL != fp) {
        if (fgets(buf, BUF_SIZE - 1, fp) == NULL) {
            fclose(fp);
        }

        fclose(fp);
        sscanf(buf, "%*s %s", task_name);
    }
}

int main(int argc, char** argv)
{
    int fan;
    int mount_fd, event_fd;
    char buf[4096];
    char fdpath[32];
    char path[PATH_MAX + 1];
    struct file_handle *file_handle;

    ssize_t buflen, linklen;
    struct fanotify_event_metadata *metad
最低0.47元/天 解锁文章
linux操作系统监听文件系统事件详解
啊渊的专栏
11-28 428
inotify(inode[1] notify)是 Linux 内核中的一个子系统,由 John McCutchan[2] 创建,用于监视文件系统事件。它可以在文件或目录发生变化时通知应用程序,例如,监听文件的创建、修改或删除事件。inotify 可以用于自动更新文件系统视图、重新加载配置文件,记录文件改变历史等场景。用户通过系统调用(如:write、read)操作文件;内核将文件系统事件保存到 fsnotify_group 的事件队列中;唤醒等待 inotify 的进程(listener);
fanotify:一个简单的fanotify示例,用于监视文件系统上的事件
05-08
Fanotify-监视文件系统事件 系统的一个简单C示例要求linux。 建造 make 跑步 要监视根文件系统运行中的所有关闭事件: sudo ./fanotify CLOSE MOUNT /
linux监控文件操作行为
weixin_40539956的博客
04-15 2531
关键词(key)在这个上下文中是完全自定义的。当你使用 -k 参数在 auditd 规则中指定一个关键词时,这个关键词用于标记识别与该规则相关的审计事件。这意味着你可以使用任何有意义的字符串作为关键词,以便于后续在审计日志中快速过滤查找相关事件。-k auth-change 中的 auth-change 是一个自定义关键词,用于标识过滤与 /etc/pam.d/common-auth 文件更改相关的审计事件。
【安全】Linux Fanotify使用入门
追寻梦想的青春
06-19 3400
fanotify是另一种文件监控机制,在使用上两者类似,都是先调用init函数初始化句柄,然后调用类似watch的函数添加监控路径,再使用select+read的方式读取出变化的事件,根据事件中给出的参数获取文件的路径、事件类型以及其他需要的数据。如果是监控主机上的路径,directed结合FAN_EVENT_ON_CHILD标志就只能监控目录以及目录下的文件,per-mount可以监控pathname所在的挂载点中所有文件或者目录的变化,而global模式可以监控整个文件系统。
fanotify用例
SHELLCODE_8BIT的博客
02-07 608
下列程序能够监控文件目录。
fanotify 监控文件系统
mmdev
04-14 1455
简介:Fanotify 是一个 notifier,即一种对文件系统变化产生通知的机制,是替代 inotify 的下一代文件系统通知机制。本文将探讨 fanotify 的特性基本的使用,希望能为那些准备理解这个新的文件系统通知机制的读者提供一些参考。 引子 Fanotify (fscking all notifiction and file access system) 是一个 notifie...
fanotify来实现Linux下的进程隐藏
pein66的博客
03-28 1596
Index1.原理2.目前比较常见的Linux进程隐藏方法1.1.注入preload挂钩readdir1.2.直接替换ls/ps等系统程序3.fanotify是什么?4.使用fanotify进行进程隐藏 1.原理 在Linux下,一切皆文件。所有的进程信息,都存放在/proc/目录下,每一个pid一个目录。一般来说,遍历检查进程的方法,就是遍历检查/proc目录,检查所有称是数字的子目录,检查其...
【安全】使用Fanotify拦截文件操作
追寻梦想的青春
06-21 1233
前文已经说过,Fanotify相比Inotify,比较大的优势是获取的数据多以及Fanotify的阻断能力。阻断能力,顾思义,就是在用户操作文件时,如果判断出文件是有问题的,可以不让用户操作
Linux系统应用 - Fanotify
dxf1971738522的博客
03-04 1150
基于Linux的Fanotify框架实现文件系统变动通知
增强型VirtualBox指示器工具,支持文件监控
文件监控”与“程序监控”则分别指向其两大技术支柱:前者涉及inotify、fanotify等Linux内核级文件系统事件监听机制,后者则依赖于对VirtualBox进程(如VBoxSVC、VBoxHeadless等)的PID追踪、资源采样生命周期...
tmpfriend:将临时文件进程生命周期绑定的开源工具
tmpfriend 在此基础上进行了增强,通过操作系统级别的机制(如 Linux 上的 `inotify` 或 `fanotify`,以及利用 `/tmp` 文件系统的特性)来监控管理文件状态,或者通过在进程启动时注册清理钩子(cleanup hooks)的...
linux fanotify
faxiang1230的专栏
01-19 1819
IT安全行业比较注重用户行为监控,在linux上如何做行为监控呢?首先监控可以分作两大类:本地行为网络行为,大致是如何做的呢?在linux系统中分为用户空间内核空间,又有进程来提供隔离,通常是不能实时监控到其他用户进程的行为的.不过linux通过/proc/sys提供了很多有用的接口,工具通过这些接口提取信息使可读性更好,例如top,netstat等,其中有一些接口能够被用来进行monito...
Fanotify学习
最新发布
sunshine1324的博客
04-25 323
【安全】使用Fanotify拦截文件操作 fanotify介绍 fanotify 监控文件系统 文件监控机制fanotify学习总结 Linux fanotify 解析 监听容器中的文件系统事件 Linux fanotify 解析 Linux fanotify 解析 利用fanotify进行文件系统实时监测的认识 FANOTIFY - Linux手册页 【安全】Linux Fanotify使用入门 Linux文件事件监控Fanotify [一]rsync用法详解:最全面的rsync使用指南 第2章 rsy
linux fanotifyinotify
pynash123的博客
04-07 3118
工作中用到fanotifyinotify,记录下 Fanotify 有三个个基本的模式:directed,per-mount global。其中,directed 模式 inotify 类似,直接工作在被监控的对象的 inode 上,一次只可以监控一个对象。因此需要监控大量目标时也很麻烦。Global 模式则监控整个文件系统,任何变化都会通知 Listener。Per-mount 模式工作...
hook 监控文件 c++_Linux文件事件监控Fanotify [一]
weixin_39605326的博客
11-22 637
从监听到监控Linux的文件事件监听的原理并不复杂,简单说就是当一个应用层的进程操作一个目录或文件时,会触发system call,此时内核的notification子系统可以守在那里,把该进程文件操作上报给应用层的监听进程(称为listerner)。在这个领域,自2001年的2.4版本就引入的dnotify可以说是先驱,然而,它的缺陷实在太多了。正如其字传达的,只能监控directory,...
Linux fanotify 解析
pwl999的博客
06-16 8212
Linux fanotify 解析1. 基本介绍1.1 基本原理1.2 fanotify基本功能2. 用户态实现2.1 实例代码2.2 API介绍3. 内核实现3.1 配置fanotify3.1.1 fanotify_init()3.1.2 fanotify_mark()3.2 触发fanotify3.3 响应fanotify3.3.1 fanotify_read()3.3.2 fanotify_write()参考文档: 1. 基本介绍 Fanotify (Filesystem wide access no
inotify vs fanotify
SHELLCODE_8BIT的博客
11-16 1025
下列文章说道,inotify不可以监控文件是哪个进程修改,而fanortify可以,并且inotify也不能监控/proc,因为inotify监控inode。
LWN:分层存储管理,fanotify, FUSE 等等!
Linux News搬运工
07-25 2888
关注了就能看到更多这么棒的文章哦~Hierarchical storage management, fanotify, FUSE, and moreBy Jake EdgeJuly 16, 2024LSFMM+BPFGemini-1.5-flash translationhttps://lwn.net/Articles/981392/Amir Goldstein 在 2024 年的Linux 存...
查linux有哪些task_Linux文件事件监控Fanotify [二]
weixin_31887861的博客
12-27 329
Linux文件事件监控Fanotify [一] 监控流程上文展示了从sys_open()到fsnotify()之间的call trace,接下来继续追踪在fsnotify()之后的代码路径:根据ftrace的打印结果,fanotify注册的"handle_event"函数指针会被调用,进而就是通过fanotify_alloc_event(),给要向listerner上报的内容分配内存,并根据l...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值