从内核扩展

时间:2018-03-27 16:17:17

标签: macos kernel authorization kernel-extension xnu

我正在尝试构建POC,以识别使用fileop范围回调的基于kauth的内核扩展的文件复制活动。

但是,复制文件似乎涉及两个单独的身份验证操作(从中打开src文件并创建新文件)。

我的目标很简单,在填充数据后检测新的目标文件,忽略源文件的性质(这样我就可以阅读它以供进一步分析)

根据我的观察,可以通过监视目标文件的最后一个动作KAUTH_FILEOP_CLOSE来实现这一点。但是这个动作本身可能会导致许多其他情况,例如文件关闭后读取,我只关心文件是否有新数据。

除非目标文件是新文件(不是复制到现有文件),否则我希望得到KAUTH_FILEOP_CLOSE_MODIFIED标记,除非目标文件是新文件(

)。

也许这是Kauth的另一个错误。任何其他想法如何在填充数据后检测新文件?

谢谢

0 个答案:

没有答案