我刚刚完成了一个Linux安全模块,它在可执行文件启动时验证其完整性(使用数字签名)。现在我想深入一点,想要在运行时检查文件的完整性(即定期检查它们-因为我大多数情况下处理的是开始并一直运行的进程...),以便攻击者无法在主内存中更改文件而不被识别(至少在一段时间之后)。
问题在于我完全不知道如何检查文件的当前内存映像。我上面提到的身份验证方法利用了一个mmap-hook,每当一个文件在其执行之前被映射时就会调用它,但据我所知,LSM框架没有提供定期检查工具。
所以我的问题是:有什么提示可以帮助我开始吗?我该如何读取内存映像并检查其完整性?
谢谢
问题在于我完全不知道如何检查文件的当前内存映像。我上面提到的身份验证方法利用了一个mmap-hook,每当一个文件在其执行之前被映射时就会调用它,但据我所知,LSM框架没有提供定期检查工具。
所以我的问题是:有什么提示可以帮助我开始吗?我该如何读取内存映像并检查其完整性?
谢谢