[問題] stat st_mtime/st_ctime的可靠性 inker610566 PTT批踢踢實業坊

[問題] stat st_mtime/st_ctime的可靠性

作者: inker610566 (inker) 2013-07-09 16:40:46

先說明一下背景:
小弟我想實作一套檔案監控系統，
主要是用來防木馬程式或殭屍程式，
目前想法是定時去recursive整個目錄底下
有哪些檔案更新過或是有被更動，
類似掃描每個檔案的last modify的時間
然後去資料庫中跟上次結果比對。
我查了一下POSIX標準下可以用stat函式去查
st_mtime(last modify time)
st_ctime(last attribute change time)
不過我很好奇這樣檢查的話結果準不準確，
會不會有程式可以自己去偽造這個時間值。

作者: alongalone (沿著孤單的路) 2013-07-09 17:54:00

我會建議用 find 可能更快

作者: inker610566 (inker) 2013-07-09 19:52:00

THX~ find的確是我想要的可靠性不知是否該考慮?

作者: robinliao (qqq) 2013-07-09 23:08:00

rkhunter/lynis好像也有類似把/bin之類的檔案加hash比對。可以找看看他們source code看怎麼實作的。

作者: inker610566 (inker) 2013-07-10 00:05:00

>robinliao hash其實當初也是選擇之一但考慮到對整個檔案系統做hash的效率，才在想有沒有旁門左道可以走

作者: danny8376 (釣到一隻猴子@_@) 2013-07-26 14:32:00

只能當一個參考光是touch指令就能輕鬆改那個時間了www

作者: dou0228 (7777) 2013-08-15 21:39:00

用 inotify 更精準

繼續閱讀

Re: [問題] batch to shell scriptgoldie [問題] batch to shell scriptpsylove5566 [問題] 兩組UART間的傳輸jammer [問題] GTK檔案讀寫rtes [問題] 最近重新安裝VM的OS無法進入頁面APE36 [問題] 請問有偵測某函數是否初始化的函數嗎？surfingbboy [問題] Cygwin 沒支援 Valgrind 有沒有類似指令Slighlol [問題] 如何下指令看usb標籤Goodwater [問題] 回復誤刪的檔案jacobcan118 [問題] NFS automount (nested autofs)wmh0924