作者簡介：張博，網(wǎng)易高級信息安全工程師。

0x00 簡介

在入侵檢測的過程中，進程創(chuàng)建監(jiān)控是必不可少的一點，因為攻擊者的絕大多數(shù)攻擊行為都是以進程的方式呈現(xiàn)，所以及時獲取到新進程創(chuàng)建的信息能幫助我們快速地定位攻擊行為。

本文將介紹一些常見的監(jiān)控進程創(chuàng)建的方式，包括其原理、Demo、使用條件和優(yōu)缺點。行文倉促，如果有哪些錯誤和不足，還望大家批評指正。

0x01 常見方式

目前來看，常見的獲取進程創(chuàng)建的信息的方式有以下四種：

• So preload
• Netlink Connector
• Audit
• Syscall hook

下面我們就從原理、Demo、使用條件和優(yōu)缺點來了解一下這四種方式。

0x02 So preload

原理

首先跟大家介紹兩點基礎(chǔ)知識：

1.Linux 中大部分的可執(zhí)行程序是動態(tài)鏈接的，常用的有關(guān)進程執(zhí)行的函數(shù)例如 execve均實現(xiàn)在 libc.so 這個動態(tài)鏈接庫中。

2.Linux 提供了一個 so preload 的機制，它允許定義優(yōu)先加載的動態(tài)鏈接庫，方便使用者有選擇地載入不同動態(tài)鏈接庫中的相同函數(shù)。

結(jié)合上述兩點不難得出，我們可以通過 so preload 來覆蓋 libc.so 中的 execve等函數(shù)來監(jiān)控進程的創(chuàng)建。

Demo

下面我們就來實現(xiàn)一個簡單的 demo 。

1.創(chuàng)建文件 hook.c ，內(nèi)容如下：

#define _GNU_SOURCE

#include

#include

#include

typedef ssize_t (*execve_func_t)(const char* filename, char* const argv[], char* const envp[]);

static execve_func_t old_execve = NULL;

int execve(const char* filename, char* const argv[], char* const envp[]) {

printf("Running hook");

printf("Program executed: %s

總結(jié)

以上是生活随笔為你收集整理的hook 监控文件 c++_技术分享 | Linux 入侵检测中的进程创建监控的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。