[问题] stat st_mtime/st_ctime的可靠性 inker610566 PTT批踢踢实业坊

[问题] stat st_mtime/st_ctime的可靠性

楼主: inker610566 (inker) 2013-07-09 16:40:46

先说明一下背景:
小弟我想实作一套档案监控系统，
主要是用来防木马程式或僵尸程式，
目前想法是定时去recursive整个目录底下
有哪些档案更新过或是有被更动，
类似扫描每个档案的last modify的时间
然后去数据库中跟上次结果比对。
我查了一下POSIX标准下可以用stat函式去查
st_mtime(last modify time)
st_ctime(last attribute change time)
不过我很好奇这样检查的话结果准不准确，
会不会有程式可以自己去伪造这个时间值。

作者: alongalone (沿着孤单的路) 2013-07-09 17:54:00

我会建议用 find 可能更快

楼主: inker610566 (inker) 2013-07-09 19:52:00

THX~ find的确是我想要的可靠性不知是否该考虑?

作者: robinliao (qqq) 2013-07-09 23:08:00

rkhunter/lynis好像也有类似把/bin之类的档案加hash比对。可以找看看他们source code看怎么实作的。

楼主: inker610566 (inker) 2013-07-10 00:05:00

>robinliao hash其实当初也是选择之一但考虑到对整个档案系统做hash的效率，才在想有没有旁门左道可以走

作者: danny8376 (钓到一只猴子@_@) 2013-07-26 14:32:00

只能当一个参考光是touch指令就能轻松改那个时间了www

作者: dou0228 (7777) 2013-08-15 21:39:00

用 inotify 更精准

继续阅读

Re: [问题] batch to shell scriptgoldie [问题] batch to shell scriptpsylove5566 [问题] 两组UART间的传输jammer [问题] GTK档案读写rtes [问题] 最近重新安装VM的OS无法进入页面APE36 [问题] 请问有侦测某函数是否初始化的函数吗？surfingbboy [问题] Cygwin 没支援 Valgrind 有没有类似指令Slighlol [问题] 如何下指令看usb标签Goodwater [问题] 回复误删的档案jacobcan118 [问题] NFS automount (nested autofs)wmh0924