作者簡介：張博，網易高級信息安全工程師。

0x00 簡介

在入侵檢測的過程中，進程創建監控是必不可少的一點，因為攻擊者的絕大多數攻擊行為都是以進程的方式呈現，所以及時獲取到新進程創建的信息能幫助我們快速地定位攻擊行為。

本文將介紹一些常見的監控進程創建的方式，包括其原理、Demo、使用條件和優缺點。行文倉促，如果有哪些錯誤和不足，還望大家批評指正。

0x01 常見方式

目前來看，常見的獲取進程創建的信息的方式有以下四種：

• So preload
• Netlink Connector
• Audit
• Syscall hook

下面我們就從原理、Demo、使用條件和優缺點來了解一下這四種方式。

0x02 So preload

原理

首先跟大家介紹兩點基礎知識：

1.Linux 中大部分的可執行程序是動態鏈接的，常用的有關進程執行的函數例如 execve均實現在 libc.so 這個動態鏈接庫中。

2.Linux 提供了一個 so preload 的機制，它允許定義優先加載的動態鏈接庫，方便使用者有選擇地載入不同動態鏈接庫中的相同函數。

結合上述兩點不難得出，我們可以通過 so preload 來覆蓋 libc.so 中的 execve等函數來監控進程的創建。

Demo

下面我們就來實現一個簡單的 demo 。

1.創建文件 hook.c ，內容如下：

#define _GNU_SOURCE

#include

#include

#include

typedef ssize_t (*execve_func_t)(const char* filename, char* const argv[], char* const envp[]);

static execve_func_t old_execve = NULL;

int execve(const char* filename, char* const argv[], char* const envp[]) {

printf("Running hook");

printf("Program executed: %s

總結

以上是生活随笔為你收集整理的hook 监控文件 c++_技术分享 | Linux 入侵检测中的进程创建监控的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。