DTrace 捕获应用于某些文件的任何 chmod

DTrace 捕获应用于某些文件的任何 chmod

在 Mac OS X 目录下,/audit我有一些用户可以chmod根据自己的喜好访问的文件。

我需要chmod通过记录时间、用户和文件来审核对任何文件所做的任何操作chmod,尤其是后者。

我可以dtrace -n 'syscall::chmod:entry'检测事件,如何读取第一个参数chmod

man 2 chmod告诉我路径在第一个参数中:

chmod(const char *path, mode_t mode);

但我怎样才能阅读args[0]呢?我认为我这样做的方式是错误的..也许条目与实际的系统调用不对应?

如果我有一个可以监控的探测器,我如何检查它提供哪些参数供访问以及它们是什么类型?我假设一些指针需要根据其数据布局取消引用。

答案1

参数位于 中arg0,但这是调用者的用户空间地址而不是实际的字符串。您还需要用 a 包裹它copyinstr()

dtrace -n 'syscall::chmod:entry { printf("%d %s", uid, copyinstr(arg0)); }'

相关内容