匹配例子

最新推荐文章于 2022-06-15 21:52:23 发布
最新推荐文章于 2022-06-15 21:52:23 发布
阅读量244 收藏
点赞数
分类专栏: 总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39968176/article/details/103116225
版权 
package main

import (
	"bufio"

	"crypto/md5"
	"encoding/hex"
	"encoding/json"
	"fmt"
	"io"
	"log"
	"os"

	"strings"
	"github.com/fearful-symmetry/garlic"
	ac "github.com/cloudflare/ahocorasick"
	"github.com/chenhg5/collection"

)

type Exec struct {
	Procname 	string `json:"procname"`
	Procpath	string `json:"procpath"`
	Pid      	uint32 `json:"pid"`
	Cmdline  	string `json:"cmdline"`
	Md5hash		string	`json:"md5_hash"`
}




func getProcMd5(filepath string)  string {

	file, _ := os.Open(filepath)
	defer file.Close()
	h := md5.New()
	io.Copy(h, file)
	md := h.Sum(nil)
	md5String := hex.EncodeToString(md)
	return md5String

}

func getProcpath(pid uint32) string {

	path := fmt.Sprintf("/proc/%d/exe", pid)
	r ,_ := os.Readlink(strings.TrimSpace(path))

	return strings.TrimSpace(r)
}


func getProcName(pid uint32) string {

	path := fmt.Sprintf("/proc/%d/comm", pid)
	f, err := os.Open(path)
	if err != nil {
		log.Println(err)
	}
	defer f.Close()

	reader := bufio.NewReader(f)

	cmdtext, _, _ := reader.ReadLine()

	return strings.TrimSpace(string(cmdtext))
}


func getCmdLine(pid uint32) string {

	path := fmt.Sprintf("/proc/%d/cmdline", pid)
	f, err := os.Open(path)
	if err != nil {
		log.Println(err)
	}
	defer f.Close()

	reader := bufio.NewReader(f)

	cmdtext, _, _ := reader.ReadLine()

	return strings.Replace(string(cmdtext), "\u0000", " ", -1)

}

func main() {

	cn, err := garlic.DialPCNWithEvents([]garlic.EventType{garlic.ProcEventExec})
	if err != nil {
		fmt.Printf("%s", err)
	}

	//Read in events
	for {

		m := []string{"nc"}
		m2 := ac.NewStringMatcher([]string{"/etc/passwd"})
		m3 := ac.NewStringMatcher([]string{"749bda6cb12341b7c83c5bb45579201a","3dd534fc7f982d3d79391e8c26bcf023"})

		data, err := cn.ReadPCN()

		if err != nil {
			fmt.Printf("Read fail: %s", err)
		}

		execdata := data[0].EventData

		pid := execdata.Pid()
		procname := getProcName(pid)
		procpath := getProcpath(pid)
		cmdline := getCmdLine(pid)
		md5hash := getProcMd5(procpath)

		evtstr := Exec{
			Procname:procname,
			Pid:pid,
			Procpath:procpath,
			Cmdline:cmdline,
			Md5hash:md5hash,
		}

		jsonEvt, err := json.Marshal(evtstr)
		if err != nil {
			log.Fatal(err)
		}
		fmt.Println(string(jsonEvt))
		fmt.Println("ac match 1:",m2.Match([]byte(cmdline)))
		fmt.Println("ac match 2:",m3.Match([]byte(md5hash)))
		fmt.Println("collection match:",collection.Collect(m).Contains(procname))

		fmt.Println()


	}
}
路人99527
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
/proc/cmdline的功能
maoyikun的博客
04-15 1543
当操作系统启动时,启动加载程序(如GRUB)会从配置文件中读取一系列内核参数,并将它们传递给内核。这些参数控制内核的行为并且启动时只能传递一次。/proc/cmdline 将这些启动时传递的参数保存下来,方便用户在运行时查看这些信息。/proc/cmdline 是一个虚拟文件,它包含了系统引导时传递给内核的参数。
关于cmdline文件的中的执行命令
qu1993的博客
11-23 2302
linux文件/proc下的进程信息中,有一个cmdline文件,该文件中保持了本进程的执行命令,但是该文件中的命令比较有意思的是,当启动进程时含有参数时,会在各个参数中使用 字符'\0'进行分割,所以如何直接打印该命令,只能打印出第一个参数,即进程名,如果想打印全部参数,需要把各个参数的'\0'字符转为空格,就可以打印了。 可以使用如下函数得到该命令 int get_command(pid...
C语言环境读取/proc目录的进程信息
04-04 4027
通过/proc目录可以获取所有的进程信息。 需要注意的是 readlink系统调用不会追加0到字符串结尾,并且字符串的最大长度需要时读取长度+1,便于添加0结束字符串。 #include <stdio.h> #include <string.h> #include <stdlib.h> #include <unistd.h> #inclu...
Android中的进程名和线程名
夏夏的博客
06-15 2374
古人起名颇为讲究,不单有名,还有字。文人雅士有时还会给自己取个“别号”。所谓“名为正体,字以表德,号以寓怀”,三者共同展现一个人的品格和追求。在Android的世界里,进程和线程的名称也多种多样,有的地方用的是“名”,用的地方用的是“字”,并不统一。所以本文的目的就是深究本质,让观众老爷们知道,拿掉这些代号后的主体到底是谁。先来浅问几个问题:研究事物时,我们要用历史变迁的角度来思考。因此,想要理解Android,必先理解Linux。Linux kernel中有一个重要的概念:task_struct。我将它理
linux-cmdline版本1.0.1,/proc/cmdline保存内核启动参数以及不可修改
weixin_42519514的博客
04-30 702
cat /proc/cmdlineBOOT_IMAGE=/boot/vmlinuz-2.6.32-44-generic root=UUID=0bbf047b-8358-47f4-ab90-ac119e68a56e ro quiet splash场景描述:解压initrd.img文件,在init脚本中发现使用到获取内核启动参数:grep -q '\' /proc/cmdline || echo "L...
labview图像匹配例子
04-21
labview图像匹配例子,介绍在https://download.csdn.net/download/nut__/10364818,里面缺的vi在https://download.csdn.net/download/nut__/10364836
halcon图像匹配例子
05-23
这个例子主要作用是进行图像匹配,目的是使用HALCON软件进行图像匹配,通过NCC模型找到图像中特定圆区域的最佳匹配位置,并显示匹配结果。
halcon多模板匹配例子
最新发布
05-23
上述例子主要用于执行多模板匹配任务 创建五个基于不同颜色瓶盖的圆形特征模型。 对两组图像进行多模板匹配,找到与模型最匹配的区域。 显示匹配结果,包括圆形区域、匹配得分以及匹配的模型名称。
头像匹配例子BHChoosePickerView
04-04
源码BHChoosePickerView,BHChoosePickerView 是一个头像匹配选择器,可以左右拖拽,拖拽中间头像向上到圆圈匹配成功。 测试环境:Xcode 6.2,iOS 6.0 以上
形状匹配例子.rar_halcon 匹配_halcon 形状匹配_halcon匹配_匹配 halcon_形状匹配
07-14
关于halcon形状匹配的一些例子说明,希望对大家有帮助。
读取/proc/cmdline 文件中的标志位信息
10-09
读取/proc/cmdline 文件中的标志位信息。。
4.文件与I/O 特殊文件
qq_34738528的博客
11-02 104
1 符号链接操作 符号链接:也叫软链接,类似于快捷方式。当对软链接进行操作时,就是对软链接所对应的文件本身进行操作。 符号链接的功能: 方便用户查找文件,不需要路径等繁琐的过程。 增加了系统的安全性,从某种意义上屏蔽了路径的信息。(可以对文件进行操作,但是文件的位置实际上是被屏蔽的) 1.1 创建一个符号链接 linux环境下使用symlink函数创建一个符号链接。symlink函数的原型: #include <unistd.h> int symlink(c...
/proc/pid/cmdline采坑
weixin_34088838的博客
02-27 4105
在Linux系统中,根据进程号得到进程的命令行参数,常规的做法是读取/proc/{PID}/cmdline,并用'\0'分割其中的字符串得到进程的args[],例如下面这个例子: # xxd /proc/7771/cmdline 0000000: 2f69 746f 612f 6170 702f 6d61 7665 2f62 /itoa...
linux系列:/proc/pid
NIO4444
05-29 532
Linux内核提供了一种通过 proc 文件系统,在运行时访问内核内部数据结构、改变内核设置的机制。proc 文件系统是一个伪文件系统,它只存在内存当中,而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。 ...
Linux 更改/proc/cmdline 内核参数
mingwei6的博客
06-02 7307
cmdline 不能直接更改,而是通过更改配置文件生成的该文件。因此更改其结果的方法如下: 1. 进入路径/etc/default/, 打开文件vi grub, 更改目标参数
获取系统信息3——proc文件系统介绍和使用
主要记录嵌入式学习与开发过程。
07-17 2639
以下内容源于朱有鹏嵌入式课程的学习与整理,如有侵权请告知删除。
通过PID获取进程相关信息,如cmdline
热门推荐
crazyleen专栏
11-30 1万+
linux系统命令ps和top都是通过读取/proc/$PID 目录下的信息获取进程的相关信息, 它遍历/proc目录下的首字符为数字的目录,获取系统进程的信息。 我们经常会把pid写到/var/run/xxx.pid中,可能会有获取该进程相关信息的需要,可以通过读取/proc/$PID取得ps命令可获取的一切进程信息。 下面是通过PID获取进程cmdline的实现: /* * getc
[实战笔记] 获取应用的pid、uid、packageName、进程名
tahliaL
08-02 5838
目录 pid 1.通过api调用获取:[需要在应用内调用] uid 1. 通过api调用获取:[需要在应用内调用] 2.通过反射调用:Process.getUidForPid(int pid); 进程名(/包名) 1. 通过api调用获取:Application.getProcessName(); [需要在应用内调用] 2.通过反射调用:ActivityThread.currentProcessName(); [需要在应用内调用] 3. 通过AMS获取 4.根据pid通过反射调用:P..
Linux中proc/cmdline
Poseidon's Maserati
03-16 5680
Linux终端中使用命令: cat /proc/cmdline 可以看到内核启动时U-boot传入参数。 root@colibri:~# cat /proc/cmdline clk_ignore_unused ip=off root=/dev/mmcblk0p2 ro rootfstype=ext4 rootwait vt.global_cursor_default=0 console=...
matlab模板匹配例子
05-03
下面是一个简单的 MATLAB 模板匹配例子: ```matlab % 读入原始图像和模板 I = imread('original_image.jpg'); template = imread('template_image.jpg'); % 将图像和模板转换为灰度图像 I_gray = rgb2gray(I); ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值