xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
添加工具English Version

spy-1.1.tgz


提交时间:2003-07-10
提交用户:freedemon
工具分类:入侵检测
运行平台:Unix
工具大小:8374 Bytes
文件MD5 :935f21eb893814c2574bab8147a0a6f0
工具来源:abial@freebsd.org

spy是一个FreeBSD内核级系统调用监控模块,可以监视和过滤和记录用户发出的系统调用,并做出相应
的反应。

默认截获如下调用:

           chdir(2),  chmod(2),  execve(2),  link(2),  mkdir(2),  mount(2),
           open(2),  rmdir(2),  setegid(2),  seteuid(2),  setgid(2),
           setpgid(2),  setregid(2),  setreuid(2),  setsid(2),  setuid(2),
           unlink(2) unmount(2)

当调用发生并且符合一定的环境条件是,spy就会把调用信息记录到syslogd中,默认记录在SECURITY
组 INFO级中,所以请注意修改你的/etc/syslog.conf,打开相应的记录开关并重新运行syslogd.


spy是一个内核模块,由于自身截获了几乎所有重要的进程相关syscall,所以自身是不可重入的,对
spy进行管理是通过系统的sysctl命令接口,命令格式如下:

      # sysctl -w kern.spy.add=mount,uid=65534,root,args


===============================================================================
可接受参数:
     kern.spy.defopt  (可读写字符串) 默认监视选项: user,root,args.

     kern.spy.list    (只读字符串) 当前监视的系统调用

     kld.spy.dump     (只读struct spy_ent{}) kern.spy.list原始信息

     kern.spy.add     (可读写字符串) 添加一个系统调用到监视列表

     kern.spy.del     (可读写字符串) 删除一个被监视系统调用

     kern.spy.disable (可写字符串) 禁用spy特性 (可能需要重新启动系统)

     kern.spy.enable  (可写字符串) 开启spy特性

可接受选项:
     首要选项
     user   监视一个root以外的用户进程,按uid确定

     root   监视所有属于root的进程

     uid=n  监视uid==n 的用户进程

     gid=n  监视gid==n 的用户进程

    
     次要选项
     args   传递给系统调用的参数信息

     other  其他特征信息

===============================================================================

使用说明:
    命令格式为 # sysctl -w kern.spy.(第一参数)=首要选项,次要选项

    a.例如,审计系统中uid=65534的用户异常调用mount()的情况:

           #sysctl -w kern.spy.add=mount,uid=65534,root,args


        b.审计默认事件,所有用户对列表中的默认调用的使用情况:

           #sysctl -w kern.spy.defopt=user,root,args,other

        c.禁用spy setuid监控特性
       #sysctl -w kern.spy.disable=setuid,uid=65534,args

.

>> 下载 <<