回复 10# 536ma
沙盒是把可疑程序放在一个隔离的环境中执行. 如果你要监测系统的每一个进程的话, 要从 syscall execve 入手, 在内核中把它拦截掉, 这样你就能看到每一个进程都执行了些什么.
另外, Linux 说不定已经有一些安全机制可以做到这个了. 回复 11# MMMIX
我想在已经可以把sys_execve地址解析并且hook,但是现在就是缺少一个linux可执行程序的白名单?我写了shell脚本通过file去判定可执行脚本,问题一是白名单很大,问题二还有些可执行的文件漏了?
linux的安全机制?求推荐? 回复 12# 536ma
关键是你到底要干啥呀? 做一个受限系统, 让用户只能执行某些程序? 那你把这些程序弄个列表不就完了?
页:
1
[2]