我知道你可以使用它lsof(至少在 Linux 中)来检查哪个进程当前打开了某个特定文件,但是有没有办法找出最初创建某个特定文件的进程?或者哪个进程最近写入/修改了某个特定文件?
答案1
Auditd 可以帮上忙。请参阅http://security.blogoverflow.com/2013/01/a-brief-introduction-to-auditd/进行介绍。
如何找出哪个进程创建了特定文件?
我知道你可以使用它lsof(至少在 Linux 中)来检查哪个进程当前打开了某个特定文件,但是有没有办法找出最初创建某个特定文件的进程?或者哪个进程最近写入/修改了某个特定文件?
Auditd 可以帮上忙。请参阅http://security.blogoverflow.com/2013/01/a-brief-introduction-to-auditd/进行介绍。