我正在研究基于主机的 IDS 的系统调用跟踪,我需要在进程进入系统后立即对其进行跟踪( 中的新条目/proc)。是否有任何中断或信号或内核数据结构可以从中提取此信息。
答案1
在 Linux 上,您可以使用audit基础设施。安装auditd软件包并为您想要跟踪的系统调用以及进程/用户或其他条件添加规则。
系统调用跟踪
我正在研究基于主机的 IDS 的系统调用跟踪,我需要在进程进入系统后立即对其进行跟踪( 中的新条目/proc)。是否有任何中断或信号或内核数据结构可以从中提取此信息。
在 Linux 上,您可以使用audit基础设施。安装auditd软件包并为您想要跟踪的系统调用以及进程/用户或其他条件添加规则。