inotify代码实现监控自身进程内存变化

已于 2022-06-20 16:28:31 修改
阅读量1.9k 收藏 5
点赞数 4
分类专栏: 安全 游戏安全 文章标签: 安全
于 2021-02-22 11:41:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c_kongfei/article/details/113933286
版权

以下代码基于inotify进行内存监控实现

JNIEXPORT jboolean JNICALL Java_com_TeSo_testinotify (JNIEnv *, jobject)
{
    LOGD("start work===============");
    int ret, len, i;
    int pid = getpid();
    const int MAXLEN = 2048;
    char buf[1024];
    char readbuf[MAXLEN] ={0};
    char result[256] ={0};
    int fd, wd;
    fd_set readfds;//定义文件描述符字的集合
    char *cur_event_filename = NULL;
    fd = inotify_init();//用于创建一个 inotify 实例的系统调用,并返回一个指向该实例的文件描述符

   sprintf(buf, "/proc/%d/maps", pid);
    LOGD("PId======%s",buf);
    wd = inotify_add_watch(fd, buf, IN_ALL_EVENTS);
    //增加对文件或者目录的监控,并指定需要监控哪些事件。标志用于控制是否将事件添加到已有的监控中
    if (wd >= 0) {
        while (1) {
            i = 0;
            FD_ZERO(&readfds); // 对文件描述符集清空
            FD_SET(fd, &readfds); // 将fd加入readfds集合
            ret = select(fd + 1, &readfds, 0, 0, 0);//检查套接字是否可读
            if (ret == -1) {
                break;
            }
            if (ret) {
                len = read(fd, readbuf, MAXLEN);//读取包含一个或者多个事件信息的缓存
                while (i < len) {
                    struct inotify_event *event = (struct inotify_event *) &readbuf[i];
                    //这里会出现自身扫描的时候访问内存也有数据情况,
                    if ((event->mask & IN_ACCESS) || (event->mask & IN_OPEN)) {
                        //int ret = kill(pid, SIGKILL);
                      LOGD("打开并访问了内存 ======%s",event->name);
                       //  kill(pid, SIGKILL); //强制关闭自身进程


                    }
                    //修改器重点修改内存在这块
                    if( (event->mask & IN_MODIFY))
                    {
                       // kill(pid, SIGKILL);
                        LOGD("修改了了了内存 =======%s",event->name);

                    }

                    i += sizeof(struct inotify_event) + event->len;
                }
            }
        }

    }

    inotify_rm_watch(fd, wd);//从监控列表中移出监控项目
    close(fd);

    return true;

}

更多安全技术文章,请关注公众号 “游戏安全攻防”

小道安全
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
inotify-tools-3.14源码包
08-25
inotify-tools-3.14源码包,由于使用yum安装inotify-tools时找不到资源,所以提供了inotify-tools源码包,通过编译的形式进行安装
Rsync远程同步&inotify监控
最新发布
五彩斑斓的黑@的博客
10-16 110
rsync(Remote Sync,远程同步) 是一个开源的快速备份工具,可以在不同主机之间镜像同步整个目录树,支持增量备份,并保持链接和权限在远程同步任务中,负责发起rsync同步操作的客户机称为发起端,而负责响应来自客户机的rsync同步操作的服务器称为同步源。在同步过程中,同步源负责提供文件的原始位置,发起端应对该位置具有读取权限。
inotify + msmtp + mutt 监控文件变化并发送邮件的配置实例-msmtp的QQ邮箱配置
jerryleeee的专栏
11-12 1438
inotify + msmtp + mutt 监控文件变化并发送邮件的配置实例   (一)inotify inotify 它是一个内核级 用于通知用户文件系统变化的机制。 它监控文件系统操作,比如读、写和创建、修改、删除等等。inotify 反应灵敏,用法简单、高效。 inotify支持 2.6.13 或更新内核的 Linux 系统。 inotify-tools 是为linux下inot
共享内存+inotify机制实现进程低延迟数据共享
jinking01的专栏
08-02 630
本文是对的部分修正。之前的博客写过通过“inotify +file”的形式来实现进程队列(跨进程共享)的文章。这种方式在通常情况下表现不错,但是这里存在一个问题就是“当消费者过慢,会产生大量的击穿内核高速缓冲区io,导致消费者卡在读取数据的瓶颈上,无法使用负载均衡等手段来提高处理能力。”为了解决上述问题,引入了共享内存,众所周知,这是所有ipc中最快的通信方式,从根本上解决这个问题。下面通过实现一个producer 和 consumer 程序,来展示我的设计思路。...
Linux中的inotify机制
JoggingPig的博客
11-28 203
Linux中INotify机制的作用 用于检测文件系统的变化。 可以用于单个文件,也可以用于检测整个目录。 如果是整个目录的话,目录本身及目录中的内容都会是检测的对象。
Android文件监控FileObserver介绍
kc58236582的博客
07-07 2662
 转载地址:http://blog.csdn.net/yangwen123/article/details/36379763 在前面的Linux文件系统Inotify机制 中介绍了Linux对文件变更监控过程。Android系统在此基础上封装了一个FileObserver类来方便使用Inotify机制。FileObserver是一个抽象类,需要定义子类实现该类的onEvent抽象方法,当被
关于inotify监控mmap内存映射或共享内存相关变动的做法
jinking01的专栏
11-22 476
inotify监控mmap内存映射或共享内存相关变动的做法
Linux源码剖析——inotify源码分析
白话机器学习
07-23 346
本文通过分析inotify的源码来了解其实现过程,从分析过程可以看出,inotify的原理还是比较简单的:就是当用户调用读写、创建或删除文件的系统调用时,内核会注入相应的事件触发函数来产生一个事件,并且添加到inotify的事件队列中,然后用户就可以通过调用read函数来读取inotify事件队列中的事件。
一文带你实现监控android内存dump
qq_44005305的博客
02-28 1160
无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至CSDN官方,朋友们如果需要可以点击这个链接免费领取。这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。通常加固会在程序运行前完成对text的解密,所以脱壳可以通过 /proc/pid/mem或/proc/pid/pagemap或/proc/pid/maps,获取到壳解密后的代码内容。# 网络安全学习方法。
linux系统下inotify源码分析
深耕安全技术研究
05-13 881
文章目录1.inotify调用2.在系统中的实现。2.1 inotify头文件定义2.1.1系统中的定位位置2.1.2定义的实现2.2 inotify_add_watch实现2.2.1inotify_add_watch.S在系统的位置2.2.2 inotify_add_watch.S具体代码实现2.3 inotify_init实现2.3.1在系统中inotify_init的位置2.3.2具体的代码实现2.4inotify_rm_watch 实现2.4.1系统中定位的位置2.4.2具体的实现2.5 inoti
inotify-java源码与jar包下载
04-15
压缩包中是inotify的源码包以及编译生成好的jar包,jar包引入java项目后可直接使用,源码包需要经过编译生成jar包,编译时java支持1.7
inotify-tools-3.14.tar.gz工具源码包
08-14
Inotify是一种强大的、细粒度的、异步的文件系统事件监控机制, linux内核从 2.6.13起,加入了Inotify支持,通过Inotify可以监控文件系统中添加、删除,修改、移动等各种事件,利用这个内核接口,第三方软件就可以监控文件系统下文件的各种变化情况,而inotify-tools正是实施这样监控的软件。国人周洋在金山公司开发的sersync。 Inotify实际是一种事件驱动机制,它为应用程序监控文件系统事件提供了实时响应事件的机制,而无须通过诸如cron等的轮询机制来获取事件。cron 等机制不仅无法做到实时性,而且消耗大量系统资源。相比之下,inotify 基于事件驱动,可以做到对事件处理的实时响应,也没有轮询造成的系统资源消耗,是非常自然的事件通知接口,也与自然世界的事件机制相符合。
进程内存监控
11-02
1、获取某个进程运行的内存数据,实时监控其数据变化情况。 2、内存即为任务管理器中看到的内存大小 3、数据保存在csv文件中。 4、该工具支持在有.net4.0以上的系统上运行 5、可在界面配置读取内存的时间间隔、要监控进程
进程内存监测工具
01-16
1 进程名称可以输入多个,用‘,’隔开,比如:QQ,360se 这里的进程名称必须输全,区分大小写 2 CPU使用率 是值设置的阀值,将超过这个阀值的记录记录到error里面 3 频率是值多久监测一次,建议不要太小,会导致无法检查到,推荐是120S或60S 4 内存使用率是是值设置的阀值,将超过这个阀值的记录记录到error里面,和CPU监测不发生冲突 5 是否只记录超过的进程 是:只显示和记录CPU超过阀值的记录 否:这个进程无论CPU使用率多少都记录
Python中使用Inotify监控文件实例
09-22
主要介绍了Python中使用Inotify监控文件实例,本文直接给出实现代码,需要的朋友可以参考下
使用Python监控文件内容变化代码实例
09-20
在python中文件监控主要有两个库,一个是pyinotify,一个是watchdog。pyinotify依赖于Linux平台的inotify,今天我们就来探讨下pyinotify.
如何使用inotify编写监控程序.txt
02-08
如何使用inotify编写监控程序
使用Inotify 监控目录与文件的方法详解
12-31
1. 监控路径并打印所有发生在该路径的事件. 代码如下: 代码如下:#include <stdio>#include <string>#include <stdlib>#include <sys>#include <unistd>#define EVENT_NUM 12char *event_str[EVENT_NUM] = { “IN_...
一文带你识别移动端主流加固的方案
深耕安全技术研究
03-03 7618
文章目录1.移动端主流加固2. 移动端加固的详细分析2.1 爱加密加固的详细分析2.2梆梆加固2.3 腾讯乐固2.4 网易易盾加固2.5 360加固2.6 阿里云加固2.7 百度加固2.8娜迦加固2.9顶象加固3.识别移动端加固3.1 识别检测的方法3.2 1.移动端主流加固 按照市场使用及推广目前市面上已经成型并进行销售的移动端加固主要有: 1.爱加密加固 2.梆梆加固: 3.腾讯乐固 4.网易易盾 5.360加固 6.阿里云加固 7.百度加固 8.娜迦加固 9.顶象加固 2. 移动端加固的详细分析 2.
使用inotify写一个监控文件修改的代码
06-06
好的,以下是使用 inotify 实现监控文件修改的 Python 代码示例: ```python import os import sys import time import select # inotify 事件类型常量 IN_MODIFY = 0x00000002 # 监控的文件路径 file_path = '/path/to/file' # 初始化 inotify 实例 inotify_fd = os.inotify_init() inotify_wd = os.inotify_add_watch(inotify_fd, file_path, IN_MODIFY) # 监控循环 while True: # 等待事件发生 try: events = select.select([inotify_fd], [], [], 10)[0] if not events: continue except KeyboardInterrupt: os.close(inotify_fd) sys.exit(0) # 处理事件 for event in os.read(inotify_fd, 4096): event_mask, event_type, event_cookie, event_name_len = struct.unpack('iIII', event) event_name = os.read(inotify_fd, event_name_len).decode('utf-8') if event_mask & IN_MODIFY: print('File %s has been modified.' % os.path.join(file_path, event_name)) ``` 以上代码使用 inotify_init() 初始化一个 inotify 实例,使用 inotify_add_watch() 添加要监控的文件路径并指定监控事件类型。然后使用 select.select() 等待事件发生,使用 os.read() 读取事件并进行处理。在本例中,如果事件类型为 IN_MODIFY,则输出文件已被修改的消息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小道安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值