Linux
文章平均质量分 63
kernweak
日子越来越有判头了
展开
-
怎么快速对比,取证机器有哪些系统命令文件被篡改
如果是redhat相关系统:系统完整性可以通过rpm自带的-Va来校验检查所有的rpm软件包,查看哪些命令是否被替换了:./rpm -Va > rpm.log 如下:如果一切均校验正常将不会产生任何输出,如果有不一致的地方,就会显示出来,输出格式是8位长字符串,每个字符都用以表示文件与RPM数据库中一种属性的比较结果 ,如果是. (点) 则表示测试通过。验证内容中的8个信息的具体内容如下:标志介绍S文件大小是否改变M文件的类型或文件的权限(rwx)是否被原创 2021-06-15 17:25:40 · 1517 阅读 · 1 评论 -
libc6-dev : Breaks : libgcc-9-dev (< 9.3.0.5~) but 9.2.1-19 is to be installed
遇到问题The following packages have unmet dependencies.libc6-dev : Breaks : libgcc-9-dev (< 9.3.0.5~) but 9.2.1-19 is to be installed解决方案找到var / lib / dpkg / status文件,然后使用方便的文本编辑器将其打开sudo nano /var/lib/dpkg/status在文件中找到libgcc-9-dev软件包信息并将其删除原创 2021-04-15 22:14:42 · 876 阅读 · 0 评论 -
unbutu下cmake安装和简单使用
首先去官网下载源码包https://cmake.org/download/然后输入以下命令$tar -zxvf xx.tar.gz$./bootstrap$make$make install在其中可能会遇到一些问题,比如Error when bootstrapping CMake:Cannot find appropriate C compiler on this system.Please specify one using environment variable...原创 2020-05-26 18:25:47 · 704 阅读 · 0 评论 -
关于IDA远程调试linux的elf文件
前几天遇到一个问题在分析代码时,样本是替换了Linux的命令文件,然后想要远程调试虚拟机上的elf样本,开始是用的Remote Linux debugger方式,结果attach时候报错:The debugger could not attach to the selected process.This can perhaps indicate the process was just t...原创 2020-01-06 10:44:12 · 1193 阅读 · 0 评论 -
signal信号
Linux中不同数值的signal有不同的含义,所包含的信息如下#define SIG_ERR ((__sighandler_t) -1) /* Error return. */#define SIG_DFL ((__sighandler_t) 0) /* Default action. */#define SIG_IGN ((__sighandler_t) 1) /* Ign...原创 2019-12-17 19:15:09 · 379 阅读 · 0 评论 -
linux的errno返回值含义
逆向linux样本遇到一个函数linux中关于errno1)errno是一个整型变量,当系统调用和一些库函数发生错误时会通过设置errno的值来告诉调用者出了什么问题。2)errno的有效值都是非零的。(这个manpage有个悖论,第二段中说,errno从来不能被设为0,而在第三段又说有些接口会将其设置为0)3)errno在ISO C标准中定义的,它可能是一个宏并且不能被显示声明(...原创 2019-11-12 13:24:31 · 2985 阅读 · 0 评论 -
kafka学习笔记(未完成)
kafka是一种消息队列,高吞吐量,一般网站软件行为数据放到kafka,再放到hadoop中,kafka支撑hadoop并行数据加载相关概念hadoop:分布式计算(mapreduce)+分布式文件系统(hdfs)hive:数据仓库,数据时hdfs文件,支撑类似sql语句功能hbase:基于hdfs实现对分布式数据文件(HFile)对管理,怎生能增删改查功能,使用nosql提高查找...原创 2019-11-08 13:57:09 · 134 阅读 · 0 评论 -
centos下安装clamAV
https://blog.csdn.net/u011405698/article/details/88032736上面是环境搭建,可能问题会出在Zlib,下面是Zlib的配置https://blog.csdn.net/sirria1/article/details/83115582原创 2019-09-09 11:42:11 · 162 阅读 · 0 评论 -
Centos7 yum 出现could not retrieve mirrorlist 最终解决方案
1. sudo vim /etc/sysconfig/network-scripts/ifcfg-ens33 2. 将ONBOOT改为yes,wq!保存退出 3. 重新启动网络,$ service network restart原创 2019-09-09 10:01:51 · 316 阅读 · 0 评论 -
Linux内核多线程与中断处理
Linux创建线程使用kernel_thread(),kthread_run()#include <linux/kthread.h>#include <linux/module.h>#ifndef SLEEP_MILLI_SEC#define SLEEP_MILLI_SEC(nMilliSec) \do { \ long timeout = (nMill...原创 2019-06-10 15:07:19 · 1452 阅读 · 0 评论 -
Linux内核内存分配
函数有kmallocget_free_page()__get_free_pages()__get_free_page()vmallockmem_cachekmem_cache_alloclinux内存分为3中,DMA(可以直接访问),normal memory,high memory一般内存中,前16M是DMA内存,一般提供给ISA设备。high memory用在32位系...原创 2019-06-10 14:07:52 · 687 阅读 · 0 评论 -
Linux驱动模块编写
Linux驱动直接写函数,init,exit不需要想windows指定函数名,但是需要注册函数。用module_init#include <linux/kernel.h>#include <linux/module.h>MODULE_LICENSE ("GPL");//开源协议GPL 或者MIT BSDMODULE_AUTHOR ("TOM");//作者MOD...原创 2019-06-10 12:40:49 · 819 阅读 · 0 评论 -
Linux学习
中断机制中断向量(256)异常:cpu内部出现中断IF维持不变,不关,异常分为故障和陷阱故障(Fault):缺页,越界,等CPU出现的,非故意为之。陷阱(TRAP):调试指令int3,等,故意为之中断IF标志位清0,关中断非屏蔽:计算机硬件出现异常屏蔽中断0-31向量对应异常和非屏蔽32-47,向量分配给屏蔽中断48-255向量标识软中断,参考资...原创 2019-06-11 23:37:24 · 259 阅读 · 0 评论 -
Linux嵌入式汇编解读
AT&T汇编语法和Intel语法大致相同,一个从左到右,一个从右到左,AT&T是寄存器前面加%,立即数前面加$,Intel语法 AT&T语法 mov eax,8 movl $8,%eax mov ebx,0ffffh movl $0xffff,%ebx int 80h int $0x80 立即数16位后面是h 16位用0x表...原创 2018-10-29 17:19:56 · 624 阅读 · 1 评论 -
如何在main()函数之前执行一些代码
在控制台程序中,main函数是用户定义的执行入口点,当程序编译成功之后,链接器(Linker)会将mainCRTStartup连接到exe中,exe执行时,一开始先mainCRTStartup,这是因为程序在执行时会调用各种各样的运行时库函数,因此执行前必须要初始化好运行时库,mainCRTStartup函数会负责相应的初始化工作,他会完成一些C全局变量以及C内存分配等函数的初始化工作,如果使用C...原创 2018-09-14 15:21:04 · 9092 阅读 · 0 评论 -
ELF重定位
ELF重定位首先重定位就是将符号定义和符号引用进行连接的过程。可重定位文件需要包含描述如何修改节内容的相关信息,从而使得可执行文件和共享目标文件能够保存进程的程序镜像所需要的正确信息。重定位条目就是我们上面说的相关信息。 重定位记录保存了如何对给定的符号对应代码进行补充的相关信息。重定位实际上时一种给二进制文件打补丁的机制,如果使用了动态链接器,可以使用重定位在内存中打热补丁。用于创建可执行...原创 2018-09-18 16:57:13 · 2706 阅读 · 0 评论 -
ELF文件类型 ELF程序头 ELF节头 ELF符号
ELF文件类型首先ELF文件可以被标记为以下几个类型:ET_NONE:未知类型。ET_REL:重定位文件,类型标记为relocatable意为着该文件被标记为了一段可重定位的代码段,有时也称为目标文件。可重定位目标文件通常是还未被链接到可执行程序的一段位置独立的代码。编译完是.o的格式。ET_EXEC:可执行文件,类型为executable,表明这个文件被标记为可执行文件。这种类型被...原创 2018-09-12 15:00:27 · 2065 阅读 · 0 评论