我想在我的GNU / Linux机器上部署专注于一些更复杂的审计的审计,例如执行touch -m'witchtime'somefile等命令。我把exec拉了过来,发现正常触摸和触摸之间的区别与时间戳修改标志。 这些分别是:
utimes(“/ proc / self / fd / 0”,NULL)= 0
utimes(“/ proc / self / fd / 0”,{{1364383142,0},{1364383160,875693}})= 0
因此,似乎很容易发现utimes系统调用的怀疑;它的第二个(a1)参数必须为NULL。我尝试设置以下审核规则:
-a exit,总是-F arch = b32 -S utimes -F a1!= 0 -k TIMESTAMP_TAMPERING
然而它没有接到电话。审计在a1-4参数中不接受值(NULL)的文本表示,至少我在尝试实现它时遇到了麻烦。 有什么建议? 提前谢谢。