[問題] stat st_mtime/st_ctime的可靠性

作者inker610566 (inker)

看板LinuxDev

標題[問題] stat st_mtime/st_ctime的可靠性

時間Tue Jul 9 16:40:46 2013

先說明一下背景: 小弟我想實作一套檔案監控系統，主要是用來防木馬程式或殭屍程式，目前想法是定時去recursive整個目錄底下有哪些檔案更新過或是有被更動，類似掃描每個檔案的last modify的時間然後去資料庫中跟上次結果比對。我查了一下POSIX標準下可以用stat函式去查 st_mtime(last modify time) st_ctime(last attribute change time) 不過我很好奇這樣檢查的話結果準不準確，會不會有程式可以自己去偽造這個時間值。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 15.211.131.254

推 alongalone:我會建議用 find 可能更快 07/09 17:54

→ inker610566:THX~ find的確是我想要的可靠性不知是否該考慮? 07/09 19:52

→ robinliao:rkhunter/lynis好像也有類似把/bin之類的檔案加hash 07/09 23:08

→ robinliao:比對。可以找看看他們source code看怎麼實作的。 07/09 23:09

→ inker610566:>robinliao hash其實當初也是選擇之一但考慮到對整個 07/10 00:05

→ inker610566:檔案系統做hash的效率，才在想有沒有旁門左道可以走 07/10 00:07

→ danny8376:只能當一個參考光是touch指令就能輕鬆改那個時間了www 07/26 14:32

→ dou0228:用 inotify 更精準 08/15 21:39