Linux 判定可執(zhí)行文件或者可執(zhí)行腳本

536ma

Linux的file命令判定文件的類型，例如 file cg1
cg1:                     ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.18, not stripped
就可以判定這樣文件是可執(zhí)行文件，另外 ls -l cg1
-rwxrwxr-x. 1 xi xi 5160 7月  17 16:21 cg1  像這樣的文件就可以通過文件x屬性判定是可執(zhí)行文件，我想問一下file executable 的判定 與 ls -l 查看x屬性判定，哪一個更詳細更準確確定文件是可執(zhí)行文件？？

MMMIX

回復 1# 536ma


    file 是根據(jù)文件內(nèi)容判斷(猜測), ls 是根據(jù)文件屬性. 這兩個的結果哪個都不是 100% 可靠.

536ma

回復 2# MMMIX

你說的很對。file是通過對文件類型的初判，然后又通過檢測 magic file 規(guī)則來判定，覺得這個比 ls -l 好一點。但是在判定過程中發(fā)現(xiàn)不是很可靠，想判定某個目錄中可執(zhí)行文件文件或者腳本不是100%可靠，請問您有可靠的辦法來判定可執(zhí)行文件或者腳本？
   

MMMIX

回復 3# 536ma


    關鍵看你拿判定的結果干啥. 若是要執(zhí)行它, 只要判定下對應的路徑為普通文件并且具有可執(zhí)行權限, 然后直接執(zhí)行就行了.

536ma

MMMIX 發(fā)表于 2015-08-10 17:34
回復 3# 536ma

我想判定linux根目錄的所有可執(zhí)行文件，然后對可執(zhí)行文件進行攔截控制。我應該怎么判定和搜集可執(zhí)行程序的名單？ 但是像你說的普通文件，還具有可執(zhí)行權限。例如普通的腳本文件，如果我按照你說的辦法去做，就會把它漏掉。如： sh01.sh 文件屬性是 rw-rw-rw- sh sh01.sh仍然可以執(zhí)行， 求大神指導？

MMMIX

回復 5# 536ma


    直接用沙盒(sandbox)吧.

536ma

MMMIX 發(fā)表于 2015-08-10 21:02
回復 5# 536ma

有沒有相關的關于sanbox的實現(xiàn)案例，大神求教？

536ma

回復 6# MMMIX

我查了相關的資料，關于輕量級的SetUid中的Sandbox，但是對于具體的實現(xiàn)還是有點不明白，能否給指點一下？

   

MMMIX

回復 8# 536ma


    你是要自己實現(xiàn)沙盒? 還是在其之上添加額外的功能?

536ma

回復 9# MMMIX


   恩，就是想實現(xiàn)對可疑程序的判定？ 本來想用白名單機制去判定，但是可執(zhí)行程序白名單的搜集數(shù)據(jù)太大，內(nèi)核空間有限難實現(xiàn)；聽你說沙盤剛好有這個功能 ，如果有例子參考的話更好？沒有的話給點思路？