作者inker610566 (inker)
看板LinuxDev
標題[問題] stat st_mtime/st_ctime的可靠性
時間Tue Jul 9 16:40:46 2013
先說明一下背景:
小弟我想實作一套檔案監控系統,
主要是用來防木馬程式或殭屍程式,
目前想法是定時去recursive整個目錄底下
有哪些檔案更新過或是有被更動,
類似掃描每個檔案的last modify的時間
然後去資料庫中跟上次結果比對。
我查了一下POSIX標準下可以用stat函式去查
st_mtime(last modify time)
st_ctime(last attribute change time)
不過我很好奇這樣檢查的話結果準不準確,
會不會有程式可以自己去偽造這個時間值。
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 15.211.131.254
1F:推 alongalone:我會建議用 find 可能更快 07/09 17:54
2F:→ inker610566:THX~ find的確是我想要的 可靠性不知是否該考慮? 07/09 19:52
3F:→ robinliao:rkhunter/lynis好像也有類似把/bin之類的檔案加hash 07/09 23:08
4F:→ robinliao:比對。可以找看看他們source code看怎麼實作的。 07/09 23:09
5F:→ inker610566:>robinliao hash其實當初也是選擇之一但考慮到對整個 07/10 00:05
6F:→ inker610566:檔案系統做hash的效率,才在想有沒有旁門左道可以走 07/10 00:07
7F:→ danny8376:只能當一個參考 光是touch指令就能輕鬆改那個時間了www 07/26 14:32
8F:→ dou0228:用 inotify 更精準 08/15 21:39