我正在尝试构建 POC,该 POC 可以使用 fileop 范围回调来识别来自基于 kauth 的内核扩展的文件复制活动。
但是,复制文件似乎涉及两个单独的身份验证操作(从中打开 src 文件并创建新文件)。
我的目标相当简单,在填充数据后检测新的目标文件创建,忽略源文件的性质(这样我就能够读取它以进行进一步分析)
根据我的观察,可以通过监视目标文件上的最后一个操作来实现这一点KAUTH_FILEOP_CLOSE
。但仅此操作可能会导致很多其他情况,例如文件在读取后关闭,而我只关心文件是否有新数据。
我希望另外得到KAUTH_FILEOP_CLOSE_MODIFIED
标志,除非目标文件是新文件(不是复制到现有文件),否则它不存在。
也许这是考斯的另一个错误。还有其他想法如何在填充数据后检测新文件吗?
thanks
None
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)