[Outofthebox] riflessioni forensi

[Angelo Dell'Aera]

On Fri, 02 Sep 2005 05:17:05 +0200
isazi <isazi at olografix.org> wrote:

> Non sarebbe possibile inficiare tutto (in una situazione come la tua
> proposta finale) semplicemente fermando temporaneamente syslog prima
> di cancellare il file di log ?

Allora implementare un meccanismo di controllo sull'attivita' di syslog
all'interno di syslog stesso e' un controsenso per quanto hai detto
anche tu giustamente. Venerdi' sera, discutendo con xenion di altri
progetti e minchiatine varie che ci giravano per la testa, e' venuto
fuori che una maniera simpatica di farlo sarebbe un kernel thread che
implementi una simpatica interfaccia accedibile da userspace e che
monitori processi e file sui quali vogliamo porre l'attenzione. 

Un kernel thread, per chi non lo sapesse, altro non e' che un processo
che NON HA userspace (so che su questa affermazione partira' un
thread... anzi e' quello che mi auguro :P). Inoltre un kernel thread (se
ricordiamo bene ma dovro' controllare) ignora i signal e quindi dovrebbe
essere piu' robusto nei confronti di "stragi di massa". 

Altra cosa. Se ci si butta a kernel space allora tanto vale tirarlo via
dalla lista dei processi e il cerchio si chiude.

Un buffer che appena tornato in ufficio pensa...


-- 

Angelo Dell'Aera 'buffer' 
Antifork Research, Inc.	  	http://buffer.antifork.org
Metro Olografix

PGP information in e-mail header


-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
URL: <http://mail.olografix.org/pipermail/outofthebox/attachments/20050905/efe41016/attachment-0002.bin>