拦截 open调用 (进程白名单,文件白名单)

已于 2023-12-15 18:40:40 修改
阅读量1.1k 收藏 26
点赞数 21
文章标签: linux 系统 系统调用 c语言 进程白名单 open 函数
于 2023-12-08 15:45:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55125921/article/details/134880321
版权
本文介绍了一个Linux系统调用拦截器,它拦截`open`调用,实现进程白名单和文件白名单。代码示例展示了如何通过`LD_PRELOAD`加载自定义的`open`函数,限制非白名单进程访问特定文件,并记录访问日志。文中提到了代码优化建议,如使用哈希表存储白名单,减少内存分配和提高效率。
摘要由CSDN通过智能技术生成

拦截 open

文章目录

gcc -shared -fPIC -o libintercept.so intercept.c -ldl

LD_PRELOAD=./libintercept.so ./processA

在Linux中,我们可以使用LD_PRELOAD环境变量来拦截并替换系统调用,如open函数。这是一个简单的示例,展示了如何创建一个新的open函数来替换系统的open函数:

#define _GNU_SOURCE
#include <dlfcn.h>
#include <stdio.h>

// 定义原始的open函数
static int (*original_open)(const char*, int, ...);

// 我们的新open函数
int open(const char *pathname, int flags, ...) {
   
    printf("Intercepted open call for %s\n", pathname);

    // 获取原始的open函数
    original_open = dlsym(RTLD_NEXT, "open");

    // 调用原始的open函数
    return original_open(pathname, flags);
}

~~~

你可以将这段代码保存为一个.c文件,然后使用以下命令编译为共享库:

gcc -shared -fPIC -o libintercept.so intercept.c -ldl


然后,你可以使用LD_PRELOAD环境变量来运行你的程序,如下所示:

```bash
LD_PRELOAD=./libintercept.so your_program

这样,每当你的程序调用open函数时,都会调用我们的新open函数,而不是系统的open函数。

请注意,这只是一个基本的示例,你可能需要根据你的具体需求来修改这个新的open函数。此外,使用LD_PRELOAD拦截系统调用应该谨慎进行,因为它可能会影响到其他库的行为。

第一个需求

第一个需求
1.白名单进程 保存在 进程白名单文件 , 受保护文件的文件名保存在 文件白名单文件 中,
2.白名单 进程 能访问 所有文件(受保护文件和非保护文件)
3.对所有进程访问文件的 过程进行日志记录.(进程名,文件名,访问时间,成功与否)

在这里插入图片描述

文件结构

.
├── Files
│   ├── t1
│   ├── t2
│   ├── t3
│   ├── t4
│   ├── t5
│   ├── t6
│   ├── t7
│   ├── t8
│   └── t9
├── WHITELIST
│   ├── file_whitelist
│   ├── file_whitelist_backup
│   └── process_whitelist
├── intercept.c
├── libintercept.so
├── log.txt
├── p1
└── p1.c
进程白名单

白名单文件的路径名是/home/xxx/Test/WHITELIST/process_whitelist

/home/xxx/Test/p1
/home/xxx/Test/p2
/home/xxx/Test/p3
/home/xxx/Test/p4
/home/xxx/Test/p5
文件白名单

非白名单文件的路径名是/home/xxx/Test/WHITELIST/file_whitelist

/home/xxx/Test/Files/t1
/home/xxx/Test/Files/t2
/home/xxx/Test/Files/t3
/home/xxx/Test/Files/t4
/home/xxx/Test/Files/t5

测试代码

#include <dirent.h>
#include <fcntl.h>
#include <stdio.h>
#include <string.h>
#include <unistd.h>

int main() {
   
    DIR *dir;
    struct dirent *entry;
    int fd;

    // 打开目录
    dir = opendir("/home/xxx/Test/Files");
    if (dir == NULL) {
   
        perror("无法打开目录");
        return 1;
    }

    // 遍历目录中的每个文件
    while ((entry = readdir(dir)) != NULL) {
   
        // 检查文件名是否以"t"开头
        if (strncmp(entry->d_name, "t", 1) == 0) {
   
            char filepath[1024];

            // 构造文件路径
            snprintf(filepath, sizeof(filepath), "/home/xxx/Test/Files/%s", entry->d_name);

            // 使用open函数打开文件
            fd = open(filepath, O_RDWR);
            if (fd == -1) {
   
                perror("无法打开文件");
                continue;
            }

            printf("打开文件: %s\n", filepath);

            // 写入文件
            const char *message = "我访问了这个文件\n";
            if (write(fd, message, strlen(message)) == -1) {
   
                perror("无法写入文件");
            }

            // 关闭文件
            if (close(fd) == -1) {
   
                perror("无法关闭文件");
            }
        }
    }

    // 关闭目录
    if (closedir(dir) == -1) {
   
        perror("无法关闭目录");
    }

    return 0;
}

第一个版本

gcc -shared -fPIC -o libintercept.so intercept.c -ldl

当然,这是修改后的完整代码:

#define _GNU_SOURCE
#include <dlfcn.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <limits.h>

// 定义原始的open函数
static int (*original_open)(const char*, int, ...);

// 根据进程ID获取进程名
char *get_process_name(pid_t pid) {
   
    char path[256
最低0.47元/天 解锁文章
丁金金
关注
  • 21
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Android 12.0进程保活白名单功能实现
安卓兼职framework和app工程师的博客
05-24 3163
在12.0的系统产品开发中,在某些重要的app即使进入后台,产品需求要求也不想被系统杀掉进程,需要app长时间保活,就是app进程保活白名单功能的实现,所以需要在系统进程的时候不杀掉白名单进程
Android 10.0进程加入白名单,避免被杀掉
安卓兼职framework和app工程师的博客
12-01 4312
Android底层还是基于Linux,在Linux中低内存是会有oom killer去杀掉一些进程去释放内存,而Android中的lowmemorykiller就是在此基础上做了一些调整来的。因为手机上的内存毕竟比较有限,而Android中APP在不使用之后并不是马上被杀掉,虽然上层ActivityManagerService中也有很多关于进程的调度以及杀进程的手段,但是毕竟还需要考虑手机剩余内存的实际情况, lowmemorykiller的作用就是当内存比较紧张的时候去及时杀掉一些ActivityMana
linux实现进程白名单,使用UAC白名单让指定的程序不受UAC限制
weixin_35647799的博客
04-28 1070
使用UAC白名单让指定的程序不受UAC限制1. 关闭UAC的隐患我的上一篇博文关于Windows_8.1/Windows7下普通用户运行软件提示需要输入管理员密码解决方法已经介绍过如何以普通用户身份运行某些需要提权的程序而不弹出“用户帐户控制设置”对话框,文中的方法是把UAC完全关闭了,确实可以避免烦人的“用户帐户控制”提示,但同时也降低了系统的安全级别。UAC(User Account Cont...
Android P 性能优化:创建APP进程白名单,杀死白名单之外的进程
上周的博客
10-19 1631
最近基于Android P的TV投影开发过程中,因系统内存相对比较紧张,在启动某些CPU、内存占用比较大的APP的时候,就需要清理一下,把能杀的都杀掉,给前台进程腾出系统资源,本文对此做个详细的介绍。
linux lsm实现进程白名单,基于LSM与系统调用拦截相配合的可信计算实现系统及方法与流程...
weixin_30789921的博客
05-09 756
技术特征:1.一种基于LSM与系统调用拦截相配合的可信计算实现系统,其特征在于,包括:内核态模块、用户态服务模块和界面模块;其中,所述内核态模块处于操作系统的内核态,用于采用LSM与系统调用的方法,拦截操作系统动作,包括启动程序和文件读写操作,还用于根据用户态服务模块的决策内容执行允许或禁止操作;用户态服务模块位于操作系统的用户态,用于对所拦截的客体进行度量和决策,确定是阻止还是放行该客体;界面模...
LD_PRELOAD劫持(超详细篇)
记录学习,一起进步
03-25 3549
LD_PRELOAD劫持(超详细篇)
泛微 ecology9.0 添加白名单方法
02-15
在找到拦截记录后,我们可以将该 IP 地址添加到白名单中。我们可以在 `weaver_security_custom_rules_ws_20180206.xml` 文件中添加一个 `<ip>` 节点,例如: ```xml <ip>192.168.3.22 <ip>127.0.0.1 ``` 如果...
添加文件到360白名单
01-18
6. **远控免杀**:标签中的“远控免杀”可能意味着将远程控制软件或工具添加到白名单,以防止360安全卫士将其识别为恶意软件并进行拦截。远控软件在合法使用时,如远程技术支持,可能需要加入白名单以确保顺畅运行。...
对nginx-naxsi白名单规则详解
09-29
- `wl:ID` 表示白名单ID,用于指定哪些拦截规则会被放入白名单。例如: - `wl:0` 将所有拦截规则添加到白名单。 - `wl:42` 只将ID为42的规则添加到白名单。 - `wl:42,41,43` 将ID为42、41和43的规则添加到白名单...
ip黑白名单拦截器java示例
06-26
标签中的“IP拦截器”、“IP黑名单”和“IP白名单”是核心概念,它们代表了网络安全策略的不同方面。IP拦截器是实现这一策略的工具,黑名单用于阻止特定IP的访问,而白名单则是允许指定IP的访问。在实际应用中,通常...
后端系统开发之白名单机制
张巩武
02-22 3680
后端系统中经常会听到“某某白名单”的名字,为什么要有白名单呢?使用白名单机制有什么好处? 一首脍炙人口的儿歌可以帮我们领悟答案。 “小白兔乖乖,把门儿开开。快点开开,我要进来。 不开不开就不开,妈妈没回来,我就不开门。” 小白兔的妈妈在能开门的白名单里。显然,白名单机制是一种简单易行的系统自我保护机制,没有白名单的“开门系统”存在严重的安全隐患。 在大型后端系统中,白名单机制是必不...
系统调用让这个世界运转
花开
05-16 1251
【本文翻译自http://duartes.org/gustavo/blog/post/system-calls/,图片也是拷贝下来的原图,向原作致敬。译者FJ,联系fj_wind^@^126.com】我真真是不愿意告诉你,一个用户应用程序其实就像一个扎进水缸的脑袋一样,非常无助,一无所知。每一次和外界的交互都是通过内核的系统调用来完成的。如果一个应用程序要保存一个文件,写数据到终端,或者打开一个TC
python 检测白名单外的非法进程进程树和链接信息
云中不知人的专栏
08-22 1031
之前服务器被hacker留下后门,会在服务器起脚本与hacker的机器进行连接发送信息,后面在处理完后加防时写了个检测非法进程的脚本 一般来说,自己的服务器上的进程是固定的,而且在这里只是检查有网络活动的进程 1、进程白名单 首先拟定了针对自己服务器上进程白名单文件pro_white,内容如下: sshd mysqld zabbix_agentd /usr/sbin/sshd cupsd
绕过应用程序白名单技巧
Fly_鹏程万里
06-04 3983
在内网渗透中,经常会在内网主机执行执行的渗透工具的时候出现执行不起来的情况,很多时候是由与安全软件做了白名单限制,只允许指定的白名单中的应用程序启动,这时我们就需要利用白名单中的程序做我们想做的事情,执行我们想要执行的程序,下面就给大家分享几个绕过白名单执行应用程序的姿势。一、通过 csharp 编译文件绕过防病毒软件1、下载 CSharp 文件 wget http://tinyurl.com/I...
实现应用程序白名单
weixin_41783960的博客
03-22 3501
应用程序白名单 最近接触应用程序白名单,这里对应用程序白名单的概念进行简单的介绍。 文章地址:https://www.acsc.gov.au/publications/protect/application_whitelisting.htm 介绍 应用程序白名单是确保系统安全的最有效的防御策略之一。因此,在减少网络安全事件的必不可少的"八项策略"中,使用应用程序白名单作为其中之一。 本文档提供了关...
android 后台运行 保活
qq_38373150的博客
05-26 4151
文章不错,转载自:https://mp.weixin.qq.com/s/F7W66Y03BBTWOnsds1ZX3A 优雅保活方案,原来Android还可以这样保活! Android技术杂货铺昨天 作者:NanBox ,本文经作者授权转载,链接:https://juejin.im/post/5dfaeccbf265da33910a441d 我们知道,Android 系统会存在杀...
应用白名单:方法与挑战
weixin_41783960的博客
03-26 2183
应用白名单:方法与挑战 这是关于白名单的第二篇文章,对白名单的一些方法和面临的问题进行了一些分析,也是属于概念范畴。 文章地址:https://www.researchgate.net/publication/235981426_APPLICATION_WHITELISTING_APPROACHES_AND_CHALLENGES 摘要 对于企业网络、家庭电脑而言,恶意软件是一个一直存在的问题。即使...
拦截器设置ip白名单
最新发布
11-25
拦截器可以用来实现IP白名单的功能,具体步骤如下: 1. 创建一个拦截器类,实现HandlerInterceptor接口,并在preHandle方法中进行IP白名单校验。代码示例: ```java public class IPWhiteListInterceptor implements HandlerInterceptor { private List<String> whiteList = Arrays.asList("127.0.0.1", "192.168.0.1"); // IP白名单列表 @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String ip = request.getRemoteAddr(); // 获取客户端IP地址 if (whiteList.contains(ip)) { // 如果客户端IP在白名单列表中,则放行 return true; } else { // 否则返回403错误 response.sendError(HttpServletResponse.SC_FORBIDDEN, "IP地址不在白名单中"); return false; } } } ``` 2. 在WebMvcConfigurer的addInterceptors方法中注册拦截器,并指定拦截规则。代码示例: ```java @Configuration public class IPWhiteListWebMvcConfiguration implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new IPWhiteListInterceptor()) .addPathPatterns("/**"); // 拦截所有请求 } } ``` 3. 在需要进行IP白名单校验的Controller方法上添加自定义注解,并在拦截器中获取注解配置信息进行校验。代码示例: ```java @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) public @interface IPWhiteList { String[] value() default {}; // IP白名单列表 } public class IPWhiteListInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { if (handler instanceof HandlerMethod) { HandlerMethod handlerMethod = (HandlerMethod) handler; IPWhiteList annotation = handlerMethod.getMethodAnnotation(IPWhiteList.class); if (annotation != null) { // 如果方法上有IPWhiteList注解,则进行IP白名单校验 String[] whiteList = annotation.value(); String ip = request.getRemoteAddr(); if (Arrays.asList(whiteList).contains(ip)) { return true; } else { response.sendError(HttpServletResponse.SC_FORBIDDEN, "IP地址不在白名单中"); return false; } } } return true; } } @RestController public class UserController { @GetMapping("/user") @IPWhiteList({"127.0.0.1", "192.168.0.1"}) // 添加IPWhiteList注解 public String getUser() { return "user"; } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丁金金

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值