程序员经验分享-hwhale

检测从内核扩展的文件复制

2024-05-24

我正在尝试构建 POC,该 POC 可以使用 fileop 范围回调来识别来自基于 kauth 的内核扩展的文件复制活动。

但是,复制文件似乎涉及两个单独的身份验证操作(从中打开 src 文件并创建新文件)。

我的目标相当简单,在填充数据后检测新的目标文件创建,忽略源文件的性质(这样我就能够读取它以进行进一步分析)

根据我的观察,可以通过监视目标文件上的最后一个操作来实现这一点KAUTH_FILEOP_CLOSE。但仅此操作可能会导致很多其他情况,例如文件在读取后关闭,而我只关心文件是否有新数据。

我希望另外得到KAUTH_FILEOP_CLOSE_MODIFIED标志,除非目标文件是新文件(不是复制到现有文件),否则它不存在。

也许这是考斯的另一个错误。还有其他想法如何在填充数据后检测新文件吗?

thanks


None

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

MacOS

Kernel

Authorization

kernelextension

xnu

检测从内核扩展的文件复制 的相关文章

随机推荐

  • React:搜索过滤器无法正常工作

    我通过 API 从服务器获取记录 API 是在 Loopback 中构建的 实际上 我在每个页面上显示 5 条记录 目前工作正常 我可以导航next or prev通过分页按钮 每页显示 5 条记录 问题是 当用户在搜索框中键入内容时 记录

  • 为什么 Perl 的 LWP 给我的编码与原始网站不同?

    可以说我有这个代码 use strict use LWP qw get my content get http www msn co il print STDERR content 错误日志显示类似 xd7 x9c xd7 x94 xd7

  • 理解Python for循环中的范围

    下面的程序正在查找给定范围内的素数 对于 noprimes 列表理解部分 为什么我们有 3 个参数在范围内 noprimes j for i in range 2 8 for j in range i 2 50 i primes x for

  • Sencha Touch Label - 它有点击事件吗?

    我正在尝试使用 sencha touch 2 构建一个抽认卡应用程序 我有一个显示问题的标签 它占据了整个屏幕 我希望这样当用户点击标签时就会显示答案 标签有 点击 事件吗 当我使用按钮时它有效 但当我使用标签时则无效 另一种方法是我是否可

  • ASP .net 从 page_load 函数后面的代码中获取隐藏值

    我在 javascript 代码中设置了一个隐藏字段

  • 使用 cypher 和 apoc 将数百万个节点添加到 neo4j 空间层

    我有一个包含 380 万个节点的数据集 我正在尝试将所有这些加载到 Neo4j 空间中 节点将进入一个简单的点层 因此具有所需的纬度和经度字段 我试过了 MATCH d pointnode WITH collect d as pn CALL

  • 匀称多边形到二元蒙版

    我已经看到这个问题被问到 但还没有真正找到完整的答复 我有一个简单的形状多边形 称为polygon 我想提取这个多边形作为二进制掩码 最好是 numpy 数组 我该怎么做呢 我还成功地从 shapely 转换为 geopandas 如图所示

  • 从 HDFS 传出文件

    我想将文件从 HDFS 传输到另一台服务器的本地文件系统 该服务器不在 hadoop 集群中 而是在网络中 我本可以这样做 hadoop fs copyToLocal

  • Android 获取未聚集的标记

    我正在开发一个 Android 应用程序并且正在使用Google 地图 Android API 实用程序库 https developers google com maps documentation android utility 更具体

  • 最大宽度不适用于弹性项目

    我有一列中有一个弹性容器和两个弹性子容器 顶部 div 应填充所有剩余空间 底部 div 的高度应由内容和max width 但底部 div 的宽度正在缩小到其内容的宽度 这max width正在被忽视 hero image min hei

  • 使用 membus 和 ioc 容器的 SetHandlerInterface() 的多种类型

    过去此处演示 CQRS 代码 https gist github com hyrmn 3200053 raw 39ae14e4226d5e0d032690bf0e37e75286d2a1f7 EndToEndTests cs命令和事件处理程

  • Xticks by pandas 情节,用字符串重命名

    我有这个df df pd DataFrame A 1 2 3 B 2 3 5 C name 1 name 2 name 3 A B C 0 1 2 name 1 1 2 3 name 2 2 3 5 name 3 绘制柱状图的正确方法是什么

  • 双向和单向关联 UML

    虽然我以为我明白了aggregation and composition 我很难理解bi directional and uni directional协会 我读过bi directional协会 两个班级都知道 彼此以及与uni dire

  • 如何选择从数据集中进入数据表的列?

    作为数据工作的新手 我希望我能正确地提出这个问题 如何选择从数据集中进入数据表的列 我知道我可以使用 填充数据表 DataTable table dataSet1 Tables 0 但这会引入所有列 如何仅使用某些列填充数据表 我正在使用

  • object.style.color 只返回 rgb

    环境 JavaScript object style color 返回类似的内容 rgb 255 0 0 是否有其他返回格式 例如十六进制 var colorvariable document getElementById text1 st

  • 在 Python 上显示 Matlab mat 文件中的图像

    我目前正在尝试显示从此下载的 Mat 文件中的图像site http www rctn org bruno sparsenet 这是一个 mat 文件 所以我尝试使用 scipy io loadmat 函数加载它 但我似乎无法绘制图像 我究

  • 如果您创建一个DomainService,公开一个实体,您可以访问聚合实体吗?

    假设您创建一个 RIA DomainService 并且包含一个Person 如下所示 其中的实体 您可以访问该对象上的聚合实体吗 例如 如果我有这样的实体 请记住 这是一个简单的表示 它们是通过 EF4 设计器建模的 public cla

  • 每次打开应用程序时运行动画

    我在 viewDidLoad 中有一个动画 该动画在应用程序第一次启动时运行 如果退出应用程序 然后再次启动它 动画将不会播放 我该如何让动画在每次打开应用程序时播放 谢谢你的帮助 在 iOS 4 中 按主页按钮不会终止应用程序 而是将其挂

  • 如何连接到 NAT 后面的 JMS 队列 JBoss EAP 7?

    我已经配置了位于 NAT 网关后面的 JBoss EAP 7 0 我的 JMS 客户端可以从同一服务器或同一网络的另一台服务器成功连接到 JMS 队列 但是当同一 JMS 客户端移出该网络并尝试通过 NAT 网关连接到 JMS 时 它无法连

  • 检测从内核扩展的文件复制

    我正在尝试构建 POC 该 POC 可以使用 fileop 范围回调来识别来自基于 kauth 的内核扩展的文件复制活动 但是 复制文件似乎涉及两个单独的身份验证操作 从中打开 src 文件并创建新文件 我的目标相当简单 在填充数据后检测新

热门标签