我有一个需要以 sudo 身份运行的程序。我想我信任它,但我想确保它没有做任何奇怪的事情。有没有办法通过日志或其他方式查看它更改或创建了哪些文件?
我在 ubuntu gnome 17.04 上
答案1
正如 jdwolf 在评论中提到的,记录所有文件访问的虚拟机将是一个强大的解决方案。即使恶意软件可以检测到它在虚拟机上运行,这在今天也是很正常的事情。如果虚拟机看起来很慢,可能只是因为虚拟化平台恰好处于繁重的工作负载之下。
也可以通过strace或类似的调试命令来运行程序,这些命令会记录程序进行的所有系统调用。但是,聪明的恶意软件作者可以让他们的恶意软件检测是否在任何类型的调试功能(如strace)下运行。然后恶意软件可以在当时无害地运行,并将恶意内容留到以后不在调试工具下运行时。