我想拦截Linux服务器中的每个磁盘写操作。详细地说,我希望在它发生时捕获每个磁盘写操作,并能够确定哪个进程启动了调用,它正在尝试写入等等。为了简单起见,我现在只专注于ext3。我知道auditfs和其他“观察者”只有在操作发生后才会通知你。如前所述,我希望拦截它,并能够检索有关操作的所有信息(进程信息,目标位置,正在编写的内容)。如果存在中断/回调类型的机制(例如,接收进程,进程组或会话的任何写操作的通知--pid,pgid,sid),它将会更好。
由于
答案 0 :(得分:1)
我在这个问题上做了一些搜索,看起来很有希望: •Copyhook处理程序 - 对于MSDOS Shell,在WinReg中提供拦截DLL •NtSetInformationFile •Minifilters - 我认为这些是可移植的跨平台 •可安装的文件系统驱动程序 - 当然,
文件共享类型:某些文件系统支持审计和保护加固,但可能只是“事后”。
CopyHook看起来很简单:拦截windows中的shell文件操作调用:
https://msdn.microsoft.com/en-us/library/bb776048.aspx
司机级别的东西非常多毛,很快......