【从源码过反调试】四、文件监控+启动时捕获进程

native fork的进程还没包进去，再研究下，下篇帖子做个补充

文件监控

上一篇和文件过滤相同的位置，针对target开启log输出即可。fs/namei.c

       /
       / 
       如果文件监控功能开启
      
       if
       ((is_target() || is_capture()) && is_file_monitor_start())
      
       {
      
       printk(KERN_INFO
       "[AntiLog][FileMonitor] File Access:%s.\n"
       , result
       -
       >uptr);
      
       }
      
       if 
       (is_target() && is_str_in_filter_array(result
       -
       >uptr, &ecode))
      
       {
      
       /
       / 
       如果在过滤列表
      
       printk(
       "[AntiLog] dont access me result:%d\n"
       , ecode);
      
       return 
       ERR_PTR(ecode);
      
       }

启动时捕获进程

       if
       (is_capture_proc())
      
       {
      
       if
       (strcmp(p
       -
       >comm, 
       "main"
       ) 
       =
       = 
       0
       )
      
       {
      
       add_pid_to_pids(nr, 
       2
       );
      
       LOG(
       "Process:%s[%d] Add To Capture List."
       , p
       -
       >comm, nr);
      
       }
      
       }

图片描述

更多【【从源码过反调试】四、文件监控+启动时捕获进程】相关视频教程：www.yxfzedu.com

【从源码过反调试】四、文件监控+启动时捕获进程

文件监控

启动时捕获进程

相关文章推荐

友情链接

课程目录

技术交流QQ群