Adore-ng清理现场的功能是在log中擦去我们想要隐藏的进程的一切消息。
包括两个部分:
1、Syslog记录的信息
2、/var/log和/var/run中的特定文件。
对于syslog,我们先看下syslog的工作流程:
如上图所示,klogd和syslog之间是通过socket来实现通信的。adore对付syslog的方法是劫持sock_fs中的recvmsg。
对于/var/log和/var/run中的文件,adore劫持的是对应文件的写函数,使特定进程的消息无法被写入。
Adore-ng清理犯罪现场的工作流程图如下:
![image image](https://p-blog.csdn.net/images/p_blog_csdn_net/sealyao/594039/o_image_thumb_1_633921867942187500.png)