作者inker610566 (inker)
看板LinuxDev
标题[问题] stat st_mtime/st_ctime的可靠性
时间Tue Jul 9 16:40:46 2013
先说明一下背景:
小弟我想实作一套档案监控系统,
主要是用来防木马程式或殭屍程式,
目前想法是定时去recursive整个目录底下
有哪些档案更新过或是有被更动,
类似扫描每个档案的last modify的时间
然後去资料库中跟上次结果比对。
我查了一下POSIX标准下可以用stat函式去查
st_mtime(last modify time)
st_ctime(last attribute change time)
不过我很好奇这样检查的话结果准不准确,
会不会有程式可以自己去伪造这个时间值。
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 15.211.131.254
1F:推 alongalone:我会建议用 find 可能更快 07/09 17:54
2F:→ inker610566:THX~ find的确是我想要的 可靠性不知是否该考虑? 07/09 19:52
3F:→ robinliao:rkhunter/lynis好像也有类似把/bin之类的档案加hash 07/09 23:08
4F:→ robinliao:比对。可以找看看他们source code看怎麽实作的。 07/09 23:09
5F:→ inker610566:>robinliao hash其实当初也是选择之一但考虑到对整个 07/10 00:05
6F:→ inker610566:档案系统做hash的效率,才在想有没有旁门左道可以走 07/10 00:07
7F:→ danny8376:只能当一个参考 光是touch指令就能轻松改那个时间了www 07/26 14:32
8F:→ dou0228:用 inotify 更精准 08/15 21:39