文件监控机制fanotify学习总结

最新推荐文章于 2024-06-19 18:06:31 发布
最新推荐文章于 2024-06-19 18:06:31 发布
阅读量2.4k 收藏 12
点赞数
分类专栏: LinuxC编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41681241/article/details/104002762
版权

fanotify是Linux平台上新出现的一种文件监控技术,常被用作杀毒软件或者病毒程序恶意访问控制。之前有听过或使用过inotify的,都知道inotify是相比于fanotify更早的文件操作事件监控技术,fanotify是新出来的,实现的功能不比inotify多,但是他提供的对于监控文件的事件比较重要的功能权限检查和访问控制而inotify没有提供,所以这一点优势是其能存在的原因。

fanitify的使用思路也比较清晰。下面结合代码我们来分析:

下面是设置内核参数的程序,主要用的几个系统调用在里面声明了:
fanotify-syscalllib.h

#ifndef __FANOTIFY_SYSCALL_LIB
#define __FANOTIFY_SYSCALL_LIB

#include <unistd.h>
#include <linux/types.h>

#if defined(__x86_64__)
# define __NR_fanotify_init	300
# define __NR_fanotify_mark	301
#elif defined(__i386__)
# define __NR_fanotify_init	338
# define __NR_fanotify_mark	339
#else
# error "System call numbers not defined for this architecture"
#endif

static inline int fanotify_init(unsigned int flags, unsigned int event_f_flags)
{
	return syscall(__NR_fanotify_init, flags, event_f_flags);
}

static inline int fanotify_mark(int fanotify_fd, unsigned int flags, __u64 mask,
				int dfd, const char *pathname)
{
	return syscall(__NR_fanotify_mark, fanotify_fd, flags, mask,
		       dfd, pathname);
}
#endif

主要功能程序代码:
Fanotify.h

#pragma once
#include <errno.h>
#include <inttypes.h>
#include <fcntl.h>
#include <linux/limits.h>
#include <iostream>
#include <signal.h>
#include <stdbool.h>
#include <stdio.h>
#include <stdlib.h>
#include <memory>
#include <string.h>
#include <sys/select.h>
#include <sys/time.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <unistd.h>
#include <string.h>
#include <linux/fanotify.h>
#include "fanotify-syscalllib.h"


const int OPEN = 1 ;
const int MODIFY = 2 ;
const int CLOSE_MODIFY = 3;
const int CLOSE = 4 ;

class Fanotify {
public:
    Fanotify() ;
    ~Fanotify() ;
    //选择检测对象
    void setNotifyObject(std::string path) ;
    //获取句柄
    int getNotifyFD() ;
	//将fanotify句柄加到select中开始监听
    void startListen() ;
    //设置打开和关闭事件
    void detectOpenClose() ;
	//设置检测修改事件
    void detectWrite() ;
    //在监控期间可以操作文件
    void operationFile(int fd) ;
    //开始监听函数
private:
    std::string paths ;
    //当一些程序试图打开文件的时候,fanotify检测到病给内核发送允许访问标志,当然也可以发送不允许访问标志
    int handlePerm(const struct fanotify_event_metadata* metadata) ;
    //select监测事件
    int selectEvent(fd_set* rfd) ;
	//获取文件操作事件类型
    int getEvent(const struct fanotify_event_metadata* metadata, int len) ;
    //设置检测对象的
 //   std::shared_ptr<epOperation>ep ;
    int fanFd ;
};

Fanotify.cpp

#include "Fanotify.h"

Fanotify :: Fanotify() {
}

Fanotify :: ~Fanotify() {
    close(fanFd) ;
}

void Fanotify:: detectOpenClose() {
    std::cout << "使用提供的系统调用,设置开关标志" << std::endl ;
    int ret = fanotify_mark(fanFd, FAN_MARK_ADD, FAN_CLOSE|FAN_OPEN, AT_FDCWD, paths.c_str()) ;
    if(ret < 0) {
        std:: cout << __FILE__ << "    " << __LINE__ << std:: endl ;
    }
}

//设置监控对象为目录下的子文件
void Fanotify::setNotifyObject(std::string path) {
    this->paths = path ;
    //初始化,第一个参数为FAN_CLASS_CONTENT(表示允许接收通知文件事件)另一个值为FAN_CLASS_NOTIF 为默认值。只允许接收事件通知,在一般的监听中,使用FAN_CLASS_CONTENT
    //第二个参数,表示接收到操作文件事件后,本程序对文件的操作为可读可写,因为metadata中的fd为程序操作发生事件的文件的fd,可以直接操作那个文件,操作完后,要关掉。
    fanFd = fanotify_init(FAN_CLASS_CONTENT, O_RDWR) ;
    if(fanFd < 0) {
        std :: cout << __FILE__ << "   " << __LINE__ << "     " << strerror(errno)<< std :: endl ;
        return ;
    }
    std::cout << "初始化完成" << std::endl ;
    uint64_t fanMask = 0;
    //设置在文件open的时候,会通知本程序,同意访问的话,本程序需要给内核发允许访问标志,然后其他程序才能继续访问,否则不能访问
    fanMask |= FAN_OPEN_PERM ;
    fanMask |= FAN_ALL_PERM_EVENTS ;
    //FAN_EVENT_ON_CHILD 作用于当前操作目录的所有子文件
    //FAN_MARK_ADD 添加监听事件标志的标志
    int ret = fanotify_mark(fanFd, FAN_MARK_ADD, fanMask|FAN_EVENT_ON_CHILD, 
                            AT_FDCWD, path.c_str()) ;
    if(ret < 0) {
        std::cout << __LINE__ <<"   " __FILE__ << "   " << strerror(errno) << std::endl ;
    }
    std::cout << "对象处理完成"<< std::endl ;
}

int Fanotify :: getNotifyFD() {
    return fanFd ;
}

void Fanotify:: startListen() {
    char buf[4096];
    int len = 0 ;
    fd_set rfd ;
    //使用select监听
    FD_ZERO(&rfd) ;
    FD_SET(fanFd, &rfd) ;
    std::cout << "开始监听" << std::endl ;
    selectEvent(&rfd) ;
    std:: cout << "发生事件" <<std::endl ;
    while((len = read(fanFd, buf, sizeof(buf))) > 0) {
        struct fanotify_event_metadata* metadata ;
        char path[PATH_MAX] ;
        int pathLen ;
        metadata = (fanotify_event_metadata*)buf ;
        if(metadata->fd >= 0) {
            sprintf(path, "/proc/self/fd/%d", metadata->fd) ;
            pathLen = readlink(path, path, sizeof(path)-1) ;
            if(pathLen < 0) {
                std :: cout << __LINE__ << "     " << __FILE__ << std::endl ;
                exit(1) ;
            }
            path[pathLen] = '\0' ;
            getEvent(metadata, len) ;
            std::cout << "检测完成" << std::endl ;
        }
        selectEvent(&rfd) ;
    }
    std::cout << strerror(errno) << std :: endl ;
}

int Fanotify:: selectEvent(fd_set* rfd) {
   std::cout << "阻塞" << std::endl ;
    while(select(fanFd+1, rfd, NULL, NULL, NULL) < 0) {
        if(errno != EINTR) {
            std ::cout << __LINE__ <<  "     " << std::endl ;
            exit(0) ;
        }
    }
    return 1 ;
}

int Fanotify::getEvent(const struct fanotify_event_metadata* metadata, int len) {
    std::string paths ;
    while(FAN_EVENT_OK(metadata, len)) {
        //处理matadata
        if(metadata->mask&FAN_OPEN) {
            std :: cout << "文件被打开" << std:: endl ;
            int fd = metadata->fd ;
            /*const char* buf = "hello,it's a secret!" ;
            write(fd, buf, strlen(buf)) ;*/
        }   
        if(metadata->mask&FAN_CLOSE) {
            if(metadata->mask&FAN_CLOSE_WRITE) {
                std:: cout << "写关闭" << std:: endl  ;
                return CLOSE_MODIFY ;
            }   
            if(metadata->mask&FAN_CLOSE_NOWRITE) {
                std :: cout << "关闭操作" <<std:: endl ;
            }
        }
        if(metadata->mask&FAN_MODIFY){
            std::cout << "修改" << std :: endl ;
        }
        if(metadata->mask&FAN_OPEN_PERM) {
            std::cout << "open perm" << std::endl  ;
        }
        if(metadata->mask&FAN_ALL_PERM_EVENTS) {
            std::cout << "给内核发送消息" << std::endl ;
            handlePerm(metadata) ;
            //操作文件
            operationFile(metadata->fd) ;
            detectOpenClose() ;
        }
        metadata = FAN_EVENT_NEXT(metadata, len) ;
    }   
    return 1 ;
}   

void Fanotify::operationFile(int fd) {
    const char* buf = "okokokokokokokok" ;
    int ret = write(fd, buf, strlen(buf)) ;
    if(ret < 0) {
        std::cout << "写失败" <<std:: endl ;
    }
    close(fd) ;
}

int Fanotify::handlePerm(const struct fanotify_event_metadata *metadata) {
    struct fanotify_response response_struct;
    int ret;
    response_struct.fd = metadata->fd;
    response_struct.response = FAN_ALLOW;

    ret = write(fanFd, &response_struct, sizeof(response_struct));
    if (ret < 0)
        return ret;

    return 0;
}

main.cpp

#include <iostream>
#include "Fanotify.h"

int main(int argc, char** argv) {
    for(int i=0; i<argc; i++) {
        std :: cout << argv[i] << std::endl ;
    }

    Fanotify notify ;
    notify.setNotifyObject(argv[1]) ;
    notify.startListen() ;
    return 0;
}

运行

g++ Fanotify.cpp main.cpp -o main
sudo ./main test
osDetach
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
linux监控文件事件的4种方法
12-16
linux监控文件事件的4种方法 linux操作系统下,如何监听文件的新建,保存,复制,移动剪切,删除事件
fanotify 监控文件系统
张同光 (Tongguang Zhang):Hello everyone !
12-12 1509
fanotify 监控文件系统
linux监控文件操作行为
weixin_40539956的博客
04-15 1607
关键词(key)在这个上下文中是完全自定义的。当你使用 -k 参数在 auditd 规则中指定一个关键词时,这个关键词用于标记和识别与该规则相关的审计事件。这意味着你可以使用任何有意义的字符串作为关键词,以便于后续在审计日志中快速过滤和查找相关事件。-k auth-change 中的 auth-change 是一个自定义关键词,用于标识和过滤与 /etc/pam.d/common-auth 文件更改相关的审计事件。
hook 监控文件 c++_Linux文件事件监控Fanotify [一]
weixin_39605326的博客
11-22 459
从监听到监控Linux的文件事件监听的原理并不复杂,简单说就是当一个应用层的进程操作一个目录或文件时,会触发system call,此时内核的notification子系统可以守在那里,把该进程对文件的操作上报给应用层的监听进程(称为listerner)。在这个领域,自2001年的2.4版本就引入的dnotify可以说是先驱,然而,它的缺陷实在太多了。正如其名字传达的,只能监控directory,...
Golang专题——fsnotify 文件及目录监控
GoppViper的博客
09-15 3717
Golang 的 fsnotify 库很方便对文件、目录做监控,这里的充满了想象力,因为一切皆文件,这代表着一切可监控。童鞋们,这里的想象空间非常大哦;通过 fsnotify 我们映证了 vim 的秘密;Golang 的 fsnotify 其实操作系统能力的浅层封装,Linux 本质就是对 inotify 机制;inotify 也是一个特殊句柄,属于匿名句柄之一,这个句柄用于文件的事件监控
linux监控文件,如何为Linux新的“fanotify文件系统监控功能进行编程?
weixin_33181159的博客
04-30 331
This LWN article经常被引用作为fanotify的文档来源。但是描述似乎已经过时了。 fanotify不再工作使用套接字连接。相反,在sys / fanotify.h中声明了两个新的libc函数包装系统调用。一个叫做fanotify_init,另一个是fanotify_mark。在撰写本文时,这些系统调用仍然包含在list of missing manual pages中。但是,这些...
C#数据库监控文件监控
05-09
总结,C#提供了丰富的库和工具来实现数据库监控文件监控。通过合理地利用这些工具和API,开发者可以构建强大的监控系统,提升系统的可靠性和维护性。同时,随着微服务和云原生理念的发展,集成日志和监控平台如...
FILEMON文件监控程序源代码.zip
02-28
FILEMON是一款用于监控文件系统活动的工具,它的源代码对于理解和学习操作系统级别的文件操作监控具有很高的价值。在本文中,我们将深入探讨FILEMON的核心概念,以及如何通过C语言实现文件监控功能。 1. **文件监控...
C# FileEventWatcher文件监控源代码
12-21
在本示例中,"C# FileEventWatcher文件监控源代码"是一个使用C#编写的简单应用程序,通过`FileSystemWatcher`来监视文件系统的变化。 `FileSystemWatcher`类提供了几个关键属性,如`Path`(设置或获取要监视的目录...
易语言监控文件模块
07-15
易语言是一种专为中国人设计的编程语言,它以简体中文作为...通过学习和实践,你可以掌握如何在易语言中实现高效、稳定的文件监控功能。在实际开发中,可以根据需求灵活调整和扩展这个模块,以满足更复杂的应用场景。
VC++文件监控之FindFirstChangeNotification
08-26
`FindFirstChangeNotification`是Windows API提供的一种用于监控文件或目录变化的机制。 `FindFirstChangeNotification`函数的基本用法如下: 1. 首先,你需要一个指向目标路径的字符串。在示例中,`path`变量存储...
linux fanotify
faxiang1230的专栏
01-19 1496
IT安全行业比较注重用户行为监控,在linux上如何做行为监控呢?首先监控可以分作两大类:本地行为和网络行为,大致是如何做的呢?在linux系统中分为用户空间和内核空间,又有进程来提供隔离,通常是不能实时监控到其他用户进程的行为的.不过linux通过/proc和/sys提供了很多有用的接口,工具通过这些接口提取信息使可读性更好,例如top,netstat等,其中有一些接口能够被用来进行monito...
fanotify实现原理源码分析
xsinlink的博客
11-06 369
fanotify主要使用。
【安全】Linux Fanotify使用入门
最新发布
追寻梦想的青春
06-19 994
fanotify是另一种文件监控机制,在使用上两者类似,都是先调用init函数初始化句柄,然后调用类似watch的函数添加监控路径,再使用select+read的方式读取出变化的事件,根据事件中给出的参数获取文件的路径、事件类型以及其他需要的数据。如果是监控主机上的路径,directed结合FAN_EVENT_ON_CHILD标志就只能监控目录以及目录下的文件,per-mount可以监控pathname所在的挂载点中所有文件或者目录的变化,而global模式可以监控整个文件系统。
利用fanotify进行文件系统实时监测的认识
qq_36573828的博客
08-20 4006
目录对最近学习Fanotify的一些理解Fanotify知识总结fanotify基本功能fanotify类型函数fanotify_init()fanotify_markfanotify使用运用中的问题 对最近学习Fanotify的一些理解 Fanotify (fscking all notifiction and file access system) 是一个 notifier,即一种对文件系统变...
linux fanotify和inotify
pynash123的博客
04-07 2704
工作中用到fanotify和inotify,记录下 Fanotify 有三个个基本的模式:directed,per-mount 和 global。其中,directed 模式和 inotify 类似,直接工作在被监控的对象的 inode 上,一次只可以监控一个对象。因此需要监控大量目标时也很麻烦。Global 模式则监控整个文件系统,任何变化都会通知 Listener。Per-mount 模式工作...
fanotify 允许打开事件用例
SHELLCODE_8BIT的博客
06-08 182
【代码】fanotify 允许打开事件用例。
Hook android系统调用研究(一)
墨鱼菜鸡
02-20 462
本文的博客链接:http://blog.csdn.net/qq1084283172/article/details/55657300 一、Android内核源码的编译环境 系统环境:Ubuntu 14.04 x64bit Android系统版本:Android 4.4.4 r1 Android内核版本:a...
c++ windows 文件监控 能否监控驱动
10-26
在Windows操作系统中,c文件监控是一个用于监控文件系统中对文件的读写操作的机制。它通过在系统的底层进行钩子和过滤操作,捕捉和记录文件的读写操作,使用户能够及时获得文件的变化情况。 然而,c文件监控主要是针对文件的读写操作,而不是对驱动的操作,因为文件和驱动是两个不同的概念。文件是指存储在文件系统中的一段数据,而驱动是指操作系统或软件用来与硬件设备进行交互的程序。 在Windows操作系统中,对驱动的监控主要是通过系统内核级的工具和机制来实现的,例如Windows内核调试工具(WinDbg)或者Windows性能分析工具(Windows Performance Analyzer)。这些工具可以帮助开发人员追踪和监测驱动程序的行为,包括其加载、运行、通信等方面。 所以,在c文件监控机制中,无法直接监控驱动的操作。如果需要监控驱动的行为,可以借助专门针对驱动的调试和监测工具,以及系统内核级的机制来实现。这些工具和机制需要更高级的技术知识和权限,一般用于驱动程序的开发和调试,而不是常规用户所使用的文件监控机制

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值