Fórum Root.cz
Hlavní témata => Software => Téma založeno: Kala 14. 04. 2017, 15:43:13
-
Skenoval jsem nějaké dokumenty s citlivými údaji a zajímá mě, zda si tento program někam na disk ukládá nějaké dočasné soubory, jež bych popř. potřeboval smazat.
-
Čistě řešení brutální silou a naprosto základními prostředky systému:
1. nastartovat systém s minimem běžících procesů/programů
2. vypsat seznam všech souborů přes celý filesystém do souboru
3. udělat 5 scanů
4. vypsat seznam všech souborů přes celý filesystém do jiného souboru
5. diff dvou textových souborů
-
to už je jednoduší spustit daný program v chroot a prostě se podívat co si tam změnil, nemusím pak diffovat celý systém, pro ty méně schopné je možné stejnou věc udělat v dockeru.
Pokud nemám podezření, že daný program maskuje svoji činnost, je nejsnažší na daný proces spustit lsof a sledovat, kam všude zapisuje.
-
Čistě řešení brutální silou a naprosto základními prostředky systému:
1. spustit program v strace
2. grepnout volání creat a open
-
to už je jednoduší spustit daný program v chroot a prostě se podívat co si tam změnil[...]
pro chroot musi stejne udelat clon systemu a pak musi stejne porovnat vsechno(s dalsim klonem), nebo stejne jako bez chrootu dat pres find vyhledat souboru s datem par minut zpet... jedine pouzit overlayfs/aufs nad bind mountem a pak jednoznacne ma v changes diru videt co se menilo...
-
nobody: ano, přesně tak, jen s chrootem tam nebudu mít změny od ostatních programů a nemusím procházet celý disk, ale pouze uzel, který je chrootnutý.
Každopádně možností je spousta, viz i typ na strace.
-
to ale porad musis 2x naklonovat system, do jednoho se chrootnout a pak oba mezi sebou kompletne porovnat...
takze kdyz uz to resit systemoveji, tak vynechat uplne klonovani a vynechat uplne porovnavani...
staci jen bind stavajiciho systemu, nad to pripojit overlayfs/aufs s nastavenym rw_adresarem bokem, teprve do toho chroot a pak jen prohlednout rw_adresar kde je automatiky/hned videt JENOM to co se menilo :)