我正在尝试构建POC,以识别使用fileop范围回调的基于kauth的内核扩展的文件复制活动。
但是,复制文件似乎涉及两个单独的身份验证操作(从中打开src文件并创建新文件)。
我的目标很简单,在填充数据后检测新的目标文件,忽略源文件的性质(这样我就可以阅读它以供进一步分析)
根据我的观察,可以通过监视目标文件的最后一个动作KAUTH_FILEOP_CLOSE
来实现这一点。但是这个动作本身可能会导致许多其他情况,例如文件关闭后读取,我只关心文件是否有新数据。
除非目标文件是新文件(不是复制到现有文件),否则我希望得到KAUTH_FILEOP_CLOSE_MODIFIED
标记,除非目标文件是新文件(
也许这是Kauth的另一个错误。任何其他想法如何在填充数据后检测新文件?
谢谢