форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[ Отслеживать ]

"журналирование запуска процессов/программ"		+/–
Сообщение от Олег (??) on 03-Июн-09, 19:20
Доброго времени суток. Задача в том, чтобы отправлять в log информацию о запуске процессов/программ. Решение, чтобы периодически дергать ps или еще что-нибудь не подходит (программа может отработать в течение периода и отключиться). Выдает ли система что-нибудь при старте процесса, что можно отловить в цикле и уже тогда отправить в журнал информацию? Если да, то что делает система и как это отловить? Спасибо.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "журналирование запуска процессов/программ"		+1 +/–
Сообщение от Sarge (??) on 03-Июн-09, 22:02
Система создаёт каталог /proc/PID и файлы с подкаталогами в нём, в которых содержится вся инфа о процессе. Но отследить это событие с помощью inotify не получится. Можно попробовать наложить на ядро один из патчей упомянутых тут: http://honeyman.livejournal.com/50966.html Правда они все давно заброшены, так что наверняка придётся их самим дорабатывать.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "журналирование запуска процессов/программ"		+/–
	Сообщение от Олег (??) on 04-Июн-09, 16:56
	спасибо за быстрый ответ. Посмотрю эти патчи.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "журналирование запуска процессов/программ"		+/–
Сообщение от mikra on 04-Июн-09, 17:22
А зачем это? В шпионаже итп почти бесполезно, а для отладки есть средства вроде strace...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "журналирование запуска процессов/программ"		+/–
	Сообщение от Олег (??) on 04-Июн-09, 18:05
	>А зачем это? В шпионаже итп почти бесполезно, а для отладки есть >средства вроде strace... итп - это что-то инженерно техническое? Ну, в общем случае, пусть работает компьютер. Допустим, что кто-то внедрил туда свою закладку и она запускается в определенный момент времени. Как это сделать незаметно - другой вопрос. Я хочу хотя бы представлять, какие именно процессы запускаются, пока я не наблюдаю за системой.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "журналирование запуска процессов/программ"		–1 +/–
	Сообщение от angra (ok) on 04-Июн-09, 19:20
	>итп - это что-то инженерно техническое? итп это "и тому подобное". Могу еще добавить в копилку знаний итд - "и так далее". Впервые встречаю взрослого человека, который этого не знает. > Ну, в общем случае, пусть работает >компьютер. Допустим, что кто-то внедрил туда свою закладку и она запускается >в определенный момент времени. Как это сделать незаметно - другой вопрос. >Я хочу хотя бы представлять, какие именно процессы запускаются, пока я >не наблюдаю за системой. Не пытайся перемудрить взломщиков, не имея достаточного уровня знаний. Воспользуйся chkrootkit сотоварищи.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "журналирование запуска процессов/программ"		+/–
	Сообщение от Sarge (??) on 04-Июн-09, 21:16
	А мне кажется что такая возможность в системе была бы полезна. Да просто для того же аудита. Вон, в соседней ветке у человека фря перезагружается ровно в 10 вечера и он понять не может в чём дело.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "журналирование запуска процессов/программ"		+/–
Сообщение от pavel_simple (ok) on 04-Июн-09, 18:32
>Доброго времени суток. >Задача в том, чтобы отправлять в log информацию о запуске процессов/программ. >Решение, чтобы периодически дергать ps или еще что-нибудь не подходит (программа может >отработать в течение периода и отключиться). >Выдает ли система что-нибудь при старте процесса, что можно отловить в цикле >и уже тогда отправить в журнал информацию? >Если да, то что делает система и как это отловить? >Спасибо. ОС какая?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "журналирование запуска процессов/программ"		+/–
	Сообщение от Олег (??) on 05-Июн-09, 14:17
	>ОС какая? Fedora10
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "журналирование запуска процессов/программ"		+1 +/–
	Сообщение от pavel_simple (ok) on 08-Июн-09, 09:50
	>>ОС какая? > >Fedora10 auditd от RedHat
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "журналирование запуска процессов/программ"		+/–
	Сообщение от Олег (??) on 08-Июн-09, 16:51
	>auditd от RedHat Спасибо. Постараюсь разобраться.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "журналирование запуска процессов/программ"		+1 +/–
Сообщение от Alex_U (ok) on 05-Июн-09, 22:32
>Доброго времени суток. >Задача в том, чтобы отправлять в log информацию о запуске процессов/программ. >Решение, чтобы периодически дергать ps или еще что-нибудь не подходит (программа может >отработать в течение периода и отключиться). >Выдает ли система что-нибудь при старте процесса, что можно отловить в цикле >и уже тогда отправить в журнал информацию? >Если да, то что делает система и как это отловить? >Спасибо. Ессть такая штука как dazuko (используется в некоторых антивирусах), с ее помощью можно отслеживать доступ к файлам и папкам. Но это всего лишь модуль, который предаставляет определенный интерфейс. Хотя вроде как с ним идет программка для тестирования работы этого модуля, которая пишет инфу в лог при доступе к файлам в определенной директории. http://dazuko.dnsalias.org/wiki/index.php/Main_Page
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "журналирование запуска процессов/программ"		+/–
	Сообщение от Олег (??) on 08-Июн-09, 16:53
	>Ессть такая штука как dazuko (используется в некоторых антивирусах), с ее помощью >можно отслеживать доступ к файлам и папкам. Но это всего лишь >модуль, который предаставляет определенный интерфейс. Хотя вроде как с ним идет >программка для тестирования работы этого модуля, которая пишет инфу в лог >при доступе к файлам в определенной директории. >http://dazuko.dnsalias.org/wiki/index.php/Main_Page Спасибо. Дайте только время на переваривание всей инфы.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "журналирование запуска процессов/программ"		+/–
	Сообщение от Олег (??) on 18-Июн-09, 18:59
	Остановился в итоге на auditd. Для журналирования запуска программ и процессов, я так понимаю, требуется задать правила для отслеживания системных вызовов fork, vfork, clone, execev, kill (для завершения). Спасибо всем участникам ветки. Вы мне очень помогли.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]