Linux 判定可执行文件或者可执行脚本

MMMIX

回复 10# 536ma


    沙盒是把可疑程序放在一个隔离的环境中执行. 如果你要监测系统的每一个进程的话, 要从 syscall execve 入手, 在内核中把它拦截掉, 这样你就能看到每一个进程都执行了些什么.

另外, Linux 说不定已经有一些安全机制可以做到这个了.

536ma

回复 11# MMMIX


   我想在已经可以把sys_execve地址解析并且hook，但是现在就是缺少一个linux可执行程序的白名单？我写了shell脚本通过file去判定可执行脚本，问题一是白名单很大，问题二还有些可执行的文件漏了？
linux的安全机制？求推荐？

MMMIX

回复 12# 536ma


    关键是你到底要干啥呀? 做一个受限系统, 让用户只能执行某些程序? 那你把这些程序弄个列表不就完了?